CVE-2020-17530 | Apache Struts远程代码执行漏洞通告

发布时间 2020-12-08


0x00 漏洞概述

CVE   ID

CVE-2020-17530

时      间

2020-12-08

类     型

RCE

等      级

高危

远程利用

影响范围

Apache struts

 2.0.0-2.5.25

 

0x01 漏洞详情

 

image.png

 

Apache Struts 2 是一个用于开发Java EE网络应用程序的开源Web框架,其利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。

2020年12月08日, Apache 发布安全公告,Struts中存在一个远程代码执行漏洞(CVE-2020-17530)。

Struts在某些情况下可能存在OGNL表达式注入漏洞,如果开发人员使用了 %{…} 语法进行强制OGNL解析,某些特殊的TAG属性可能会被双重解析。攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行。

 

0x02 处置建议

目前Apache已经修复了此漏洞,建议更新至Struts 2.5.26或更高版本。

下载链接:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

 

0x03 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-061

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17530

https://nvd.nist.gov/vuln/detail/CVE-2020-17530

 

0x04 时间线

2020-12-08  Apache发布安全公告

2020-12-08  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


image.png