关于Apache Struts 远程代码执行漏洞(S2-059、CVE-2019-0230)的风险提示

发布者:信息化中心发布时间:2020-08-14浏览次数:731


813Apache Struts 官方发布安全公告,披露 S2-059 Struts2 远程代码执行漏洞。

一、漏洞描述

Struts2在使用某些tag等情况下可能存在OGNL表达式注入,从而造成远程代码执行,例如:<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>

    1. 漏洞编号

CVE-2019-0230

    1. 漏洞等级

高危

二、修复建议

2.1受影响版本

Apache Struts 2.0.0 - 2.5.20

2.2 修复建议

升级到Struts 2.5.22:

 https://cwiki.apache.org/confluence/display/WW/S2-059