UCloud-202008-002:Apache Strusts2远程代码执行漏洞安全警告

发布时间 2020-08-14

更新时间 2020-08-14

漏洞等级 High

CVE编号 CVE-2019-0230

漏洞详情

Apache Struts披露 S2-059 Struts 远程代码执行漏洞（CVE-2019-0230），攻击者可以通过构造恶意的OGNL表达式，并将其设置到可被外部输入进行修改，且会执行OGNL表达式的Struts2标签的属性值，引发OGNL表达式解析，最终造成远程代码执行的效果，风险极大。

影响范围

Apache Struts2：2.0.0-2.5.20

修复方案

注：修复漏洞前请请做好数据备份、快照和测试工作，防止发生意外

1、升级到Struts 2.5.22或更高版本。

2、开启ONGL表达式注入保护措施

3、使用UCloud WAF进行安全防御

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-059

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable