人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-17530 | Apache Struts远程代码执行误差通告

宣布时间 2020-12-08

0x00 误差概述

CVE ID

CVE-2020-17530

时间

2020-12-08

类型

RCE

等级

高危

远程使用

是

影响规模

Apache struts ：

2.0.0-2.5.25

0x01 误差详情

Apache Struts 2 是一个用于开发Java EE网络应用程序的开源Web框架，，，其使用并延伸了Java Servlet API，，，勉励开发者接纳MVC架构。。

2020年12月08日，，， Apache 宣布清静通告，，，Struts中保存一个远程代码执行误差（CVE-2020-17530）。。

Struts在某些情形下可能保存OGNL表达式注入误差，，，若是开发职员使用了 %{…} 语法举行强制OGNL剖析，，，某些特殊的TAG属性可能会被双重剖析。。攻击者可以通过结构恶意的OGNL表达式来使用此误差，，，最终造成远程代码执行。。

0x02 处置惩罚建议

现在Apache已经修复了此误差，，，建议更新至Struts 2.5.26或更高版本。。

下载链接：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

0x03 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-061

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17530

https://nvd.nist.gov/vuln/detail/CVE-2020-17530

0x04 时间线

2020-12-08 Apache宣布清静通告

2020-12-08 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】