CVE-2020-17530 | Apache Struts远程代码执行漏洞通告
发布时间 2020-12-080x00 漏洞概述
CVE ID | CVE-2020-17530 | 时 间 | 2020-12-08 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Apache struts : 2.0.0-2.5.25 |
0x01 漏洞详情
Apache Struts 2 是一个用于开发Java EE网络应用程序的开源Web框架,其利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
2020年12月08日, Apache 发布安全公告,Struts中存在一个远程代码执行漏洞(CVE-2020-17530)。
Struts在某些情况下可能存在OGNL表达式注入漏洞,如果开发人员使用了 %{…} 语法进行强制OGNL解析,某些特殊的TAG属性可能会被双重解析。攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行。
0x02 处置建议
目前Apache已经修复了此漏洞,建议更新至Struts 2.5.26或更高版本。
下载链接:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26
0x03 参考链接
https://cwiki.apache.org/confluence/display/WW/S2-061
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17530
https://nvd.nist.gov/vuln/detail/CVE-2020-17530
0x04 时间线
2020-12-08 Apache发布安全公告
2020-12-08 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/