安全通告:Apache Struts远程代码执行漏洞(CVE-2019-0230)
2020-08-14 来源:金山毒霸作者:金山毒霸
【漏洞说明】
北京时间2020年8月13日,Apache Struts官方发布了远程代码执行漏洞(CVE-2019-0230)的风险通告。该漏洞源于Apache Struts的框架在被强制使用时,会对标签的属性进行二次求值,这可能导致远程代码执行。只有在Struts标签属性中强制使用OGNL表达式时,才能触发漏洞。
【威胁等级】
高危
【影响范围】
受影响的产品版本如下:
Struts 2.0.0 – Struts 2.5.20
【解决方法】
方法一:更新Apache Struts官方发布的新版本(推荐)
Apache Struts发布的新版已修复该漏洞,可以从以下地址下载:
https://struts.apache.org/download.cgi#struts2522
方法二:开启ONGL表达式注入保护措施
更多详尽信息,请参考Apache Struts官方的通告:
https://cwiki.apache.org/confluence/display/ww/s2-059