安全通告 | Apache Struts远程代码执行漏洞(CVE-2020-17530)
漏洞描述
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。安赛提醒Apache Struts用户尽快采取安全措施防止漏洞攻击。
漏洞等级
高风险
影响版本
Apache Struts 2.0.0 - 2.5.25
安全版本
Apache Struts >= 2.5.26
安全建议
1、避免不受信任的用户输入使用强制OGNL evaluation
2、升级到Struts 2.5.26及更高版本
相关链接
https://cwiki.apache.org/confluence/display/WW/S2-061
公司产品及服务
漏洞扫描:AIScanner系统 | WebIDS:Web入侵检测与漏洞感知系统 | NIDS:下一代入侵检测系统 | SPS:旁路阻断仪 | 智能WAF:Web应用防火墙 | NGFW:下一代防火墙 | APT:高级威胁分析平台 | 信息安全等级保护咨询与评估 | 安全评估/渗透测试服务 | NSACE安全培训与认证 ...
国家监管单位客户案例
国家信息技术安全研究中心 | 中国信息安全评测中心 | 国家互联网应急中心 | 中国信息通信研究院 | 公安部第一研究所 | 公安部第三研究所 | 工信部电子一所 | 中国信息安全认证中心 | 国家信息安全漏洞共享平台 | 国家信息安全漏洞库 ...
金融行业客户案例
中国人民银行 | 中国银行 | 中国农业银行 | 中国工商银行 | 中国建设银行 | 国家开发银行 | 中国证监会 | 包商银行 | 恒丰银行 | 昆仑银行 | 中国太平 | 泰康人寿 | 宜信惠民 | 冠群驰骋 | 中国民生银行 | 营口沿海银行 | 江明农商银行 | 农银人寿 | 泰康集团 | 新华保险 | 宜信财富 | 抬财贷 | 郑州商品交易所 ...
能源行业客户案例
国家电网 | 中国南方电网 | 中国石油 | 北京燃气 | 中国铝业股份有限公司 ...
教育行业客户案例
北京邮电大学 | 华中科技大学 | 深圳信息职业技术学院 | 北京林业大学 | 北京教育学院 ...
政府与事业单位客户案例
中华人民共和国科学技术部 | 中华人民共和国文化部 | 中华人民共和国国家发展和改革委员会 | 中华人民共和国工业和信息化部 | 中华人民共和国水利部 | 国家税务总局 | 国家林业和草原局国家公园管理局 | 中华人民共和国海关总署 | 国家信息中心 | 中国航天科工集团公司 | 中国民用航空局空中交通管理局 | 首都机场集团公司 | 武汉市工程科学技术研究院 | 河北省互联网信息办公室 | 上海市信息安全评測认证中心 | 国家林业局 ...
互联网客户案例
腾讯 | 360 | 华为 | 百度 | 腾讯云 | 京东 | 搜狐网 | 滴滴 | 凤凰网 | 网易 | 美团 | 高德地图 | 赶集网 | 58同城 | 触控科技 | 完美世界 | PPTV | OWASP中国 | 中国制造网 | 500万彩票网 | 恒光信息 | 骏梦游戏 | 圣博润 | 观安 | 白帽汇 | 天泰网络 | 浙江乾冠信息安全研究所 | 谷安天下 | HDLR|形天宏源 | 融源 | 力高科技 | 锦龙信安 | 交控科技 | 上海诺康信息科技有限公司 | 聚宽 | OPHYLINK|北京锐伟兴业系统科技有限公司 | 中证信息技术服务有限责任公司 | 意畅 | 北京亿飞成科技发展有限公司 | 艺赛旗 | 理想境界 | ERYCD | 太极 …
企业客户案例
中国移动通信 | 中核武汉核电运行技术股份有限公司 | 北京首都国际机场股份有限公司 | 中国投资有限责任公司 | 中电长城国际 | 中联钢信 | 闻康集团 | 青蚨在线 | 北京中彩在线科技有限责任公司 | 银江股份 | 北大青鸟 ...