安全通告
Apache Struts2远程代码执行漏洞安全风险通告
发布日期:2022-4-13
漏洞描述
近日,监测到Apache Struts2远程代码执行漏洞在互联网上流传,Apache Struts2 是一个用于开发Java EE网络应用程序的开放源代码网页程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。由于对CVE-2020-17530的修复不完整,导致输入验证码不正确。如果开发人员使用%{…}语法应用强制OGNL评估,标签的一些属性仍然可以执行双重评估。对不受信任的用户输入使用强制OGNL评估可能会导致远程代码执行。
漏洞危害
攻击者可利用该漏洞进行远程代码执行
漏洞等级
高危
受影响版本
Apache Struts2 2.0.0~2.5.29
不受影响版本
Apache Struts2 >= 2.5.30
修复方案
根据影响版本中的信息,排查并升级到不受影响的版本
临时修补建议
避免对不受信任的用户输入使用强制OGNL评估
参考链接
- https://cwiki.apache.org/confluence/display/WW/S2-062