首页 > 清静研究 > 清静转达 > 清静通告

CVE-2019-0230 | Apache Struts2远程代码执行误差通告

宣布时间 2020-08-14

0x00 误差概述

CVE ID	CVE-2019-0230	时间	2020-08-14
类型	RCE	等级	高危
远程使用	是	影响规模	Apache Struts 2.0.0-2.5.20

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Apache Struts是美国阿帕奇（Apache）软件基金会认真维护的一个开源项目，，，，，，是一套用于建设企业级Java Web应用的开源MVC框架。。。。。

2020年8月13日，，，，，，Apache官方宣布通告，，，，，，修复了一个Apache Struts2远程代码执行误差（CVE-2019-0230）。。。。。该误差源于Struts 2会对某些标签的属性值举行二次表达式剖析，，，，，，当使用%{...} or ${...}语法对标签属性举行强制剖析的情形下，，，，，，OGNL表达式中引用未履历证的用户输入，，，，，，通过结构恶意的OGNL表达式，，，，，，导致远程代码执行。。。。。

0x02 处置惩罚建议

Apache官方已经宣布新版本，，，，，，请升级到Struts 2.5.22或更高版本，，，，，，下载地点：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

暂时步伐：

1. 将输入参数的值重新分派给某些Struts的标签属性时，，，，，，始终对其举行验证；；；；；

2. 除非有有用的用例，，，，，，不然不要在值以外的标签属性中使用％{...}或$ {...}语法引用可修改的输入，，，，，，参考链接：

https://struts.apache.org/security/#use-struts-tags-instead-of-raw-el-expressions

3. 开启ONGL表达式注入保唬�；；；ぃ�，，，，，参考链接：

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

0x03 相关新闻

0x04 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-059

0x05 时间线

2020-08-13 Apache官方宣布通告

2020-08-14 VSRC宣布误差通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2019-0230 | Apache Struts2远程代码执行误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线