1. 首页>
  2. 资讯中心

【安全通告】Apache Struts远程代码执行漏洞风险公告(CVE-2020-17530)

腾讯云 2020年12月09日 浏览136

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

2020-12-08 15:53:18

尊敬的腾讯云用户,您好!

2020年12月8日,腾讯云安全运营中心监测到,Apache Struts 官方披露了编号为S2-061的远程代码执行漏洞,CVE编号:CVE-2020-17530
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。据官方描述,如果开发人员在解析%{…}等标签时强制使用OGNL evaluation,则某些标签的属性可能会执行double evaluation,从而可能使不受信任的用户输入导致远程代码执行等安全风险。


风险等级
漏洞风险
漏洞被利用可能导致远程代码执行。
影响版本

Struts 2.0.0 - Struts 2.5.25


安全版本

Struts 2.5.26及更高版本

修复建议
1)避免不受信任的用户输入使用强制OGNL evaluation
2)升级到Struts 2.5.26及更高版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外

检测与防护
目前腾讯T-Sec主机安全(云镜)已支持对 Struts 远程代码执行漏洞(CVE-2020-17530)进行检测;
腾讯T-Sec云防火墙入侵防御功能已支持对Struts 远程代码执行漏洞(CVE-2020-17530)利用进行检测和拦截;
腾讯 T-Sec Web应用防火墙已支持防护Struts 远程代码执行漏洞(CVE-2020-17530);
漏洞参考

https://cwiki.apache.org/confluence/display/WW/S2-061



相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013