国产精品免费一区二区三区四区_久久午夜无码鲁丝片_国产香蕉尹人视频在线_欧美人妻久久精品_加勒比色综合久久久久久久久_成人午夜污污在线观看网站_97超碰人人做人人爱欧美_国语自产偷拍精品视频偷拍_玖玖资源站亚洲最大的网站_日本三级在线播放线观看视频

安全公告編號:CNTA-2020-0026

2020年12月8日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2020-69833，對應(yīng)CVE-2020-17530）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。目前，漏洞細(xì)節(jié)已公開，廠商已發(fā)布升級版本修復(fù)此漏洞。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller（MVC）模型的java企業(yè)級web應(yīng)用框架，成為國內(nèi)外較為流行的容器軟件中間件。

2020年12月8日，Apache Strust2發(fā)布最新安全公告，Apache Struts2存在遠(yuǎn)程代碼執(zhí)行的高危漏洞（CVE-2020-17530）。由于Struts2會對一些標(biāo)簽屬性的屬性值進(jìn)行二次解析，當(dāng)這些標(biāo)簽屬性使用了 `%{x}` 且 `x` 的值用戶可控時，攻擊者利用該漏洞，可通過構(gòu)造特定參數(shù)，獲得目標(biāo)服務(wù)器的權(quán)限，實現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。

CNVD對該漏洞的綜合評級為“高?！薄?/p>

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

Struts 2.0.0-2.5.25

三、漏洞處置建議

經(jīng)綜合技術(shù)研判，該漏洞的利用條件較高，難以進(jìn)行大規(guī)模利用。Apache公司已發(fā)布了新版本（2.5.26）修復(fù)了該漏洞，CNVD建議用戶及時升級至最新版本：

https://cwiki.apache.org/confluence/display/WW/S2-061

附：參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-061

?

感謝CNVD技術(shù)組支撐單位——北京知道創(chuàng)宇信息技術(shù)股份有限公司、奇安信科技集團(tuán)股份有限公司為本報告提供的技術(shù)支持。