【风险公告】Apache Struts2 远程代码执行
2020-12-08 00:00:00
2020年12月08日�,�,234钱包安全应急响应中心监测到Apache Struts 官方颁布安全布告�,�,披露 S2-061 Struts 远程代码执行缝隙�。�。
该缝隙风险等级为高危�,�,请使用struts2有关用户尽快升级到安全版本�,�,预防遭逢不用要的损失�。�。
缝隙描述
Apache Struts2是一个用于开发Java EE网络利用法式的开源网页利用法式架构�。�。它利用并延长了Java Servlet API�,�,激励开发者选取MVC架构�。�。
若是开发人员使用%{…}语法利用了强制OGNL求值�,�,则象征的某些属性可能会执行双重求值;对不受信赖的用户输入使用强制OGNL推算可导致远程代码执行降低其安全性�。�。
风险等级
高危
影响版本
Apache Struts 2.0.0 - 2.5.25
修复建议
将Apache Struts 升级至 2.5.26版本
参考链接
[1]https://cwiki.apache.org/confluence/display/WW/S2-061
北京234钱包网络技术有限公司
2020/12/08