apache struts2 远程代码执行漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:cve-2020-17530
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-11
- 更新时间:2021-01-14
漏洞简介
struts2是一个基于mvc设计模式的web应用框架。在mvc设计模式中,struts2作为控制器(controller)来建立模型与视图的数据交互struts2以webwork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与servletapi完全脱离开,所以struts2可以理解为webwork的更新产品。
深信服千里目安全实验室在2020年12月08日监测到apache struts2存在一个远程代码执行漏洞(s2-061)。struts2在某些标签属性中使用ognl表达式时,因为没有做内容过滤,在传入精心构造的请求时看,可以造成ognl二次解析,执行指定的远程代码。攻击者可以通过构造恶意请求利用该漏洞,成功利用此漏洞可以造成远程代码执行。
漏洞公示
暂无
参考网站
受影响实体
目前受影响的apache struts2版本:
apache struts 2.0.0 - 2.5.25
补丁
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:
