首页安全服务安全公告
正文

关于CVE-2019-0230:struts2-059远程代码执行漏洞的安全通告

发布时间:2020-08-14 11:08   浏览次数:5250

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。北京时间8月13日,其官方发出安全通告,其中包括对一个远程代码执行漏洞(S2-059,CVE-2019-0230)进行修复,漏洞等级:高危。漏洞评分:8.5。

建议各用户做好资产的排查工作,对存在漏洞的应用及时进行升级修复。


【漏洞描述】

攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终造成远程代码执行的影响。


【漏洞影响版本】

Struts 2.0.0–Struts 2.5.20


【修复方案】

将Apache Struts框架升级至最新版本。安全版本为:Apache Struts >= 2.5.22


【参考资料】

https://cwiki.apache.org/confluence/display/WW/S2-059

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable


海峡信息将持续跟进漏洞的最新动态,请您保持关注海峡信息官网、官微的公告内容。如有问题,您可以通过以下方式联系我们:


安全服务热线:400-666-3586


福建省海峡信息技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 1999-2021 Fujian Strait Information Corporation. All Rights Reserved.

返回顶部