女人18片毛片120分钟免费观看 ,性爱大香蕉,97资源人妻,久久久夜色精品亚洲在线播放,看黄色毛片电影,精品久久成人无码片,欧美成人精品三级网站,黄色视频免费无码在线播放观看

TAG：	Struts、S2-059、CVE-2019-0230、S2-060、CVE-2019-0233
漏洞危害：	攻擊者利用漏洞，可實現遠程代碼執(zhí)行和拒絕服務攻擊。
版本：	1.0

漏洞公告

2020年8月13日，Apache官方發(fā)布Struts 2.0.0到2.5.20版本中存在OGNL表達式注入的遠程代碼執(zhí)行漏洞（S2-059）和拒絕服務漏洞（S2-060）公告，對應CVE編號：CVE-2019-0230、CVE-2019-0233，相關鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-059

https://cwiki.apache.org/confluence/display/ww/s2-060

根據公告，在Struts 2.0.0版本的double evaluation機制中，當在Struts標簽屬性內強制執(zhí)行OGNL evaluation時存在被惡意注入OGNL表達式的風險，從而實現代碼執(zhí)行效果；另外在將文件上傳到使用getter暴露文件的Action時，惡意攻擊者可以操縱該請求，實現拒絕服務效果，建議部署有該框架的應用及時升級到漏洞修復的版本。

Apache Struts歷史安全公告參考：

https://cwiki.apache.org/confluence/display/WW/Security+Bulletin

影響范圍

受影響版本

Apache?Struts?2.0.0?-?2.5.20

不受影響版本

Apache?Struts?>=?2.5.22

漏洞檢測

?版本檢測

maven的項目可通過pom.xml查看當前使用的struts2版本：

也可通過查看lib中的核心包查看strut2版本：

若當前版本在受影響范圍內，則可能存在安全風險。?

緩解措施

高危：目前漏洞細節(jié)和利用代碼已經部分公開，參考S2-029、S2-036的利用應該很快會出現利用代碼，建議及時測試并升級到漏洞修復的版本，或部署必要的安全防護設備攔截惡意攻擊代碼。

安全開發(fā)和安全運營建議：

基于Struts 2的開發(fā)不要在標簽屬性中使用％{...}語法引用未經驗證的用戶可修改輸入；除了Struts 2，近期還應該及時關注Tomcat、Weblogic、WebSphere、JBOSS、Spirng FrameWork、Shiro、CAS、Fastjson等服務和框架組件的漏洞公告。

該漏洞已經傳播開來，安全研究員對此漏洞進行了深入分析，得出結論：此漏洞利用條件苛刻，無法大規(guī)模利用。建議客戶不必驚慌，及時安裝軟件更新。

復現了CVE-2020-13921漏洞，

復現截圖如下：

文章來源：

https://mp.weixin.qq.com/s/DnTxH7G7HcGk0-wcLIt9ig

Apache Struts爆最新漏洞