0x01 漏洞簡述
2020年08月13日, 360CERT監測發現Apache官方釋出了Struts2遠端命令執行漏洞的風險通告,該漏洞編號為CVE-2019-0230,漏洞等級:高危。
攻擊者可以透過構造惡意的OGNL表示式,並將其設定到可被外部輸入進行修改,且會執行OGNL表示式的Struts2標籤的屬性值,引發OGNL表示式解析,最終造成遠端程式碼執行的效果。
對此,360CERT建議廣大使用者及時將Apache Struts2進行升級完成漏洞修復。與此同時,請做好資產自查以及預防工作,以免遭受駭客攻擊。
0x03漏洞詳情
Apache Struts 2是一個用於開發Java EE網路應用程式的開放原始碼網頁應用程式架構。它利用並延伸了Java Servlet API,鼓勵開發者採用MVC架構。
該漏洞有三個限制條件:
Struts2標籤的屬性值可執行OGNL表示式
Struts2標籤的屬性值可被外部輸入修改
Struts2標籤的屬性值未經安全驗證
僅當以上三個條件都滿足時,攻擊者可以透過構造惡意的OGNL表示式,造成遠端命令執行的效果。受夠了Struts2?把Spring Boot和Spring MVC改造提上日程吧!
0x04影響版本
Apache Struts2:2。0。0-2。5。20
0x05 修復建議
升級到Struts 2。5。22或更高版本。
或者開啟ONGL表示式注入保護措施
0x06 時間線
2020-08-13
Apache Struts2官方釋出安全通告
2020-08-13
360CERT釋出通告