安全通告:Apache Struts远程代码执行漏洞(CVE-2019-0230)

2020-08-14 来源:金山毒霸作者:金山毒霸

【漏洞说明】

北京时间2020年8月13日,Apache Struts官方发布了远程代码执行漏洞(CVE-2019-0230)的风险通告。该漏洞源于Apache Struts的框架在被强制使用时,会对标签的属性进行二次求值,这可能导致远程代码执行。只有在Struts标签属性中强制使用OGNL表达式时,才能触发漏洞。

【威胁等级】

高危

【影响范围】

受影响的产品版本如下:

Struts 2.0.0 – Struts 2.5.20

 

【解决方法】

方法一:更新Apache Struts官方发布的新版本(推荐)

Apache Struts发布的新版已修复该漏洞,可以从以下地址下载:

https://struts.apache.org/download.cgi#struts2522

方法二:开启ONGL表达式注入保护措施

 

更多详尽信息,请参考Apache Struts官方的通告:

https://cwiki.apache.org/confluence/display/ww/s2-059