【高危】- Apache Struts 2 远程代码执行漏洞(CVE-2019-0230)
■ 漏洞描述
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。
■ 影响范围
Apache Struts 2.0.0 - 2.5.20
■ 漏洞检测
1、匹配版本号,
2、排查Struts 标签属性内是否强制进行 OGNL 表达式解析,如id="%{var}"。
■ 漏洞修复
将Apache Struts框架升级至最新版本Apache Struts >= 2.5.22;下载地址:
https://struts.apache.org/
■ 临时修复
1、如不能及时更新版本,添加waf,匹配攻击特征:"%{...} 或 ${...}"。
2、对每一个标签属性的传入值进行安全校验,并且不应该在除了 value 以外的其他属性值中使用 %{...} 或 ${...} 进行表达式解析。
■ 漏洞详情
https://mp.weixin.qq.com/s/sRcP27-y_Ps-YGTZ3Y4uZQ
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。
■ 影响范围
Apache Struts 2.0.0 - 2.5.20
■ 漏洞检测
1、匹配版本号,
2、排查Struts 标签属性内是否强制进行 OGNL 表达式解析,如id="%{var}"。
■ 漏洞修复
将Apache Struts框架升级至最新版本Apache Struts >= 2.5.22;下载地址:
https://struts.apache.org/
■ 临时修复
1、如不能及时更新版本,添加waf,匹配攻击特征:"%{...} 或 ${...}"。
2、对每一个标签属性的传入值进行安全校验,并且不应该在除了 value 以外的其他属性值中使用 %{...} 或 ${...} 进行表达式解析。
■ 漏洞详情
https://mp.weixin.qq.com/s/sRcP27-y_Ps-YGTZ3Y4uZQ