Apache 公布了保安公告(S2-059, S2-060)以應對於 Apache Struts 中的多個漏洞。遠端攻擊者可以向受影響的系統傳送特製的請求來攻擊這些漏洞。
成功利用這些漏洞可導致受影響的系統任意執行程式碼或服務受阻斷,視乎攻擊者利用哪個漏洞而定。
系統管理員應將 Apache Struts 升級至現有 2.5.22 版本以應對以上問題。更新版本可從以下網址下載:
受影響系統的用戶,特別是由強制雙重 OGNL 評估造成的,應遵從產品供應商的建議,立即採取行動以降低風險。更多詳細資料,請瀏覽以下網址:
https://struts.apache.org/announce.html#a20200813
https://cwiki.apache.org/confluence/display/WW/S2-059
https://cwiki.apache.org/confluence/display/WW/S2-060
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0230
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0233