| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Apache近日發布更新以解決Apache Struts 的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 避免對不受信任的用戶使用強制OGNL評估,或升級到Apache Struts 2.5.26 |
| 細節描述: | 如果開發人員通過使用%{…}語法進行強制OGNL評估,則標籤的某些屬性可能會執行雙重評估。對不受信任的用戶輸入使用強制OGNL評估會導致遠端執行程式碼和降低安全性。 |
| 參考資訊: | Apache Struts 2 Wiki US-CERT |