事件描述
根据河南省教育信息安全监测中心发布的通告,Struts 官方发布新的安全通告,S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞。Apache Struts的框架在被强制使用时,会对标签的属性进行二次求值,这可能导致远程代码执行。只有在Struts标签属性中强制使用OGNL表达式时,才能触发漏洞。虽然利用条件相对复杂,但仍要提高警惕,做好防范。
漏洞编号
CVE-2019-0230
影响版本
Struts 2.0.0 – Struts 2.5.20
安全建议
Struts 官方已经发布了新版本修复了上述漏洞,请受影响的用户尽快升级进行防护。
若不方便升级的用户,可以参考Struts官方提供的缓解措施:
1、将输入参数的值重新分配给某些Struts的标签属性时,请始终对其进行验证。
2、考虑激活Proactive OGNL Expression Injection Protection。
信息化办公室
2020年8月17日
