Apache 公布了保安公告(S2-059, S2-060)以应对于 Apache Struts 中的多个漏洞。远端攻击者可以向受影响的系统传送特制的请求来攻击这些漏洞。
成功利用这些漏洞可导致受影响的系统任意执行程式码或服务受阻断,视乎攻击者利用哪个漏洞而定。
系统管理员应将 Apache Struts 升级至现有 2.5.22 版本以应对以上问题。更新版本可从以下网址下载:
受影响系统的用户,特别是由强制双重 OGNL 评估造成的,应遵从产品供应商的建议,立即采取行动以降低风险。更多详细资料,请浏览以下网址:
https://struts.apache.org/announce.html#a20200813
https://cwiki.apache.org/confluence/display/WW/S2-059
https://cwiki.apache.org/confluence/display/WW/S2-060
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0230
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0233