CVE-2019-0230 | Apache Struts2远程代码执行误差通告

宣布时间 2020-08-14

0x00 误差概述


CVE   ID

CVE-2019-0230

   

2020-08-14

  

RCE

   

高危

远程使用

影响规模

Apache Struts 2.0.0-2.5.20


0x01 误差详情


尊龙凯时·(中国区)人生就是搏!


Apache Struts是美国阿帕奇(Apache)软件基金会认真维护的一个开源项目,是一套用于建设企业级Java Web应用的开源MVC框架。

2020年8月13日,Apache官方宣布通告,修复了一个Apache Struts2远程代码执行误差(CVE-2019-0230)。该误差源于Struts 2会对某些标签的属性值举行二次表达式剖析,当使用%{...} or ${...}语法对标签属性举行强制剖析的情形下,OGNL表达式中引用未履历证的用户输入,通过结构恶意的OGNL表达式,导致远程代码执行。


0x02 处置惩罚建议


Apache官方已经宣布新版本,请升级到Struts 2.5.22或更高版本,下载地点:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

暂时步伐:

1. 将输入参数的值重新分派给某些Struts的标签属性时,始终对其举行验证;

2. 除非有有用的用例,不然不要在值以外的标签属性中使用%{...}或$ {...}语法引用可修改的输入,参考链接:

https://struts.apache.org/security/#use-struts-tags-instead-of-raw-el-expressions

3. 开启ONGL表达式注入掩护,参考链接:

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable



0x03 相关新闻


0x04 参考链接


https://cwiki.apache.org/confluence/display/WW/S2-059


0x05 时间线


2020-08-13 Apache官方宣布通告

2020-08-14 VSRC宣布误差通告


尊龙凯时·(中国区)人生就是搏!