安全通告 | Apache Struts远程代码执行漏洞（CVE-2020-17530）

Posted 2021-04-20 安赛AISEC

记得点击蓝字关注我们哦！

漏洞描述

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞（CVE-2020-17530），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。安赛提醒Apache Struts用户尽快采取安全措施防止漏洞攻击。

漏洞等级

高风险

影响版本

Apache Struts 2.0.0 - 2.5.25

安全版本

Apache Struts >= 2.5.26

安全建议

1、避免不受信任的用户输入使用强制OGNL evaluation

2、升级到Struts 2.5.26及更高版本

相关链接

https://cwiki.apache.org/confluence/display/WW/S2-061

END

公司产品及服务

漏洞扫描：AIScanner系统 | WebIDS：Web入侵检测与漏洞感知系统 | NIDS：下一代入侵检测系统 | SPS：旁路阻断仪 | 智能WAF：Web应用防火墙 | NGFW：下一代防火墙 | APT：高级威胁分析平台 | 信息安全等级保护咨询与评估 | 安全评估/渗透测试服务 | NSACE安全培训与认证 ...

国家监管单位客户案例

国家信息技术安全研究中心 | 中国信息安全评测中心 | 国家互联网应急中心 | 中国信息通信研究院 | 公安部第一研究所 | 公安部第三研究所 | 工信部电子一所 | 中国信息安全认证中心 | 国家信息安全漏洞共享平台 | 国家信息安全漏洞库 ...

金融行业客户案例

中国人民银行 | 中国银行 | 中国农业银行 | 中国工商银行 | 中国建设银行 | 国家开发银行 | 中国证监会 | 包商银行 | 恒丰银行 | 昆仑银行 | 中国太平 | 泰康人寿 | 宜信惠民 | 冠群驰骋 | 中国民生银行 | 营口沿海银行 | 江明农商银行 | 农银人寿 | 泰康集团 | 新华保险 | 宜信财富 | 抬财贷 | 郑州商品交易所 ...

能源行业客户案例

国家电网 | 中国南方电网 | 中国石油 | 北京燃气 | 中国铝业股份有限公司 ...

教育行业客户案例

北京邮电大学 | 华中科技大学 | 深圳信息职业技术学院 | 北京林业大学 | 北京教育学院 ...

政府与事业单位客户案例

中华人民共和国科学技术部 | 中华人民共和国文化部 | 中华人民共和国国家发展和改革委员会 | 中华人民共和国工业和信息化部 | 中华人民共和国水利部 | 国家税务总局 | 国家林业和草原局国家公园管理局 | 中华人民共和国海关总署 | 国家信息中心 | 中国航天科工集团公司 | 中国民用航空局空中交通管理局 | 首都机场集团公司 | 武汉市工程科学技术研究院 | 河北省互联网信息办公室 | 上海市信息安全评測认证中心 | 国家林业局 ...

互联网客户案例

腾讯 | 360 | 华为 | 百度 | 腾讯云 | 京东 | 搜狐网 | 滴滴 | 凤凰网 | 网易 | 美团 | 高德地图 | 赶集网 | 58同城 | 触控科技 | 完美世界  | PPTV  | OWASP中国 | 中国制造网 | 500万彩票网 | 恒光信息 | 骏梦游戏 | 圣博润 | 观安 | 白帽汇 | 天泰网络 | 浙江乾冠信息安全研究所 | 谷安天下 | HDLR｜形天宏源 | 融源 | 力高科技 | 锦龙信安 | 交控科技 | 上海诺康信息科技有限公司 | 聚宽  | OPHYLINK｜北京锐伟兴业系统科技有限公司 | 中证信息技术服务有限责任公司 | 意畅 | 北京亿飞成科技发展有限公司 | 艺赛旗 | 理想境界 |  ERYCD | 太极 … 

企业客户案例

中国移动通信 | 中核武汉核电运行技术股份有限公司 | 北京首都国际机场股份有限公司 | 中国投资有限责任公司 | 中电长城国际 | 中联钢信 | 闻康集团 | 青蚨在线 | 北京中彩在线科技有限责任公司 | 银江股份 | 北大青鸟 ...