Apache 公布了保安公告(S2-061)以應對於 Apache Struts 中的一個漏洞。遠端攻擊者可以向受影響的系統傳送特製的請求來攻擊這個漏洞。
成功利用這個漏洞可以在受影響的系統上導致遠端執行程式碼。
系統管理員應將 Apache Struts 升級至現有 2.5.26 版本以應對以上問題。更新版本可從以下網址下載:
https://struts.apache.org/download.cgi
受影響系統的用戶,特別是由不受信任的用戶強制雙重 OGNL 評估造成的,應遵從產品供應商的建議,立即採取行動以降低風險。更多詳細資料,請瀏覽以下網址:
https://cwiki.apache.org/confluence/display/WW/S2-0610
https://struts.apache.org/announce.html#a20201208
https://cwiki.apache.org/confluence/display/WW/S2-061
https://www.hkcert.org/my_url/zh/alert/20120904
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17530