联系我们
  • 企业微信app:通讯录——员工服务——信息化服务小助手
  • 闵行校区:图书馆主楼207室
  • 普陀校区:光华路第九宿舍楼下
  • 对外办公:周一至周五 8:30—17:00
  • 办公电话:021-62233081
  • 咨询邮箱:its@ecnu.edu.cn

新闻动态

关于Apache Struts 远程代码执行漏洞S2-061风险预警提示

发布日期:2020-12-09

一、漏洞简介

128日, Apache Struts官方披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)

1.1漏洞描述

Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。如果开发人员通过使用%{…}语法应用了强制 OGNL 求值,某些 tag 的属性可以执行双重求值。对不受信任的用户输入使用强制 OGNL 求值可能会导致远程执行代码。

1.2漏洞编号

CVE-2020-17530

1.3漏洞等级

高危

二、修复建议

2.1 受影响版本

Apache Struts 2.0.0 - 2.5.25

2.2 修复建议

避免对不受信任的用户输入使用强制 OGNL 求值

升级到 struts2.5.26

下载地址为:

Version Notes 2.5.26

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26