安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

关于CVE-2019-0230:struts2-059远程代码执行漏洞的安全通告

紧急通告2020-08-14 15:58:55 4370次围观

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。北京时间8月13日,其官方发出安全通告,其中包括对一个远程代码执行漏洞(S2-059,CVE-2019-0230)进行修复,漏洞等级:高危。漏洞评分:8.5。

建议各用户做好资产的排查工作,对存在漏洞的应用及时进行升级修复。



【漏洞描述】

攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终造成远程代码执行的影响。



【漏洞影响版本】

Struts 2.0.0–Struts 2.5.20



【修复方案】

将Apache Struts框架升级至最新版本。安全版本为:Apache Struts >= 2.5.22



【参考资料】

https://cwiki.apache.org/confluence/display/WW/S2-059

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

 




上一篇: 关于防范Incaseformat蠕虫病毒攻击的安全通告

下一篇: 关于Treck公司TCP/IP协议存在系列高危漏洞的安全通告