cvss漏洞评分标准_CVE202017530 | Apache Struts远程代码执行漏洞通告

最新推荐文章于 2024-05-21 15:09:34 发布
最新推荐文章于 2024-05-21 15:09:34 发布
阅读量308 收藏
点赞数
文章标签: cvss漏洞评分标准
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36429576/article/details/112115944
版权

0x00 漏洞概述

CVE  ID

CVE-2020-17530

时  间

2020-12-08

类   型

RCE

等  级

高危

远程利用

影响范围

Apache struts :

 2.0.0-2.5.25

0x01 漏洞详情

187d99d5feced241e0e3673c704fd951.png

Apache Struts 2 是一个用于开发Java EE网络应用程序的开源Web框架,其利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。

2020年12月08日,Apache发布安全公告,Struts中存在一个远程代码执行漏洞(CVE-2020-17530)。

Struts在某些情况下可能存在OGNL表达式注入漏洞,如果开发人员使用了 %{…} 语法进行强制OGNL解析,某些特殊的TAG属性可能会被双重解析。攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行。

0x02 处置建议

目前Apache已经修复了此漏洞,建议更新至Struts 2.5.26或更高版本。

下载链接:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

0x03 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-061

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17530

https://nvd.nist.gov/vuln/detail/CVE-2020-17530

0x04 时间线

2020-12-08  Apache发布安全公告

2020-12-08  VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

VS华
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cvss漏洞评分标准_【漏洞通告】 Cisco Jabber12月多个安全漏洞
weixin_35057850的博客
12-28 703
0x00 漏洞概述产品名称CVE ID类 型漏洞等级远程利用Cisco JabberCVE-2020-26085RCE严重是CVE-2020-27127未授权访问中危是CVE-2020-27132信息泄露中危是CVE-2020-27133命令注入高危是CVE-2020-27134脚本注入高危是0x01 漏洞详情Cisco Jabber是一个即时消息和web会议桌面应用程序,它使用可扩展...
Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
Sylon的博客
06-20 1万+
Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现 一、 漏洞简介 漏洞编号和级别 CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。 漏洞概述 Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持...
2020-10-04
qq_45618121的博客
10-04 255
漏洞: xss csrf 点击劫持 sql注入 文件上传漏洞 ///////////////////// 漏洞利用: sqlmap beef-xss __________//////////////////__ 工具 burpsuite namp 御剑 awvs Hydra Metasploit
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 3082
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
cvss漏洞评分标准_CVE202017510| Apache Shiro身份验证绕过漏洞通告
weixin_39534002的博客
12-23 186
0x00 漏洞概述CNVD IDCVE-2020-17510时 间2020-11-03类 型身份验证绕过等 级高危远程利用是影响范围Apache Shiro <1.7.0Apache Shiro是一个强大且易用的Java安全框架,其支持身份验证、授权、密码和会话管理等。使用Shiro的API,可以快速、轻松地获得任何应用程序。0x01 漏洞详情2020年10月...
CVE和CVSS计算
公众号shadow sock7
05-05 2566
在线计算:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator CVSS评分,学习素材:https://www.first.org/cvss/examples
畅捷通 T+ 远程代码执行漏洞安全风险通告
08-30
此公告涉及的是畅捷通T+软件的一个严重安全漏洞,即“畅捷通T+远程代码执行漏洞”。畅捷通T+是一款专为中小型工贸和商贸企业设计的云端企业管理软件,集成了财务管理、采购管理、库存管理等多种功能,并融合了社交化...
腾讯蓝军安全通告:WebLogic远程代码执行漏洞(CVE-2020-14645).pdf
09-18
WebLogic远程代码执行漏洞(CVE-2020-14645)是Oracle WebLogic Server中发现的一个严重的安全漏洞。该漏洞允许攻击者通过T3协议利用漏洞进行远程代码执行,从而控制服务器。这一漏洞被评为CVSS(通用漏洞评分系统)...
cve-2019-0232Apache Tomcat远程代码执行漏洞打开计算器
anlalu233的博客
03-27 1592
一、 漏洞简介 1.漏洞编号和级别 CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。 2.漏洞概述 Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 4月11日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-201...
CVE-2024-38077是一个关于Windows远程桌面许可服务的远程代码执行漏洞.docx
最新发布
08-13
CVE-2024-38077是一个关于Windows远程桌面许可服务(Remote Desktop Licensing Service,简称RDL)的远程代码执行漏洞。以下是对该漏洞的详细解析: 一、漏洞概述 漏洞编号:CVE-2024-38077 漏洞类型:远程代码执行...
cvss漏洞评分标准_【漏洞通告】CVE20207200 HPE SIM远程代码执行漏洞
weixin_28951683的博客
12-28 851
0x00 漏洞概述CVE IDCVE-2020-7200时 间2020-12-17类 型RCE等 级严重远程利用是影响范围HPE SIM 7.6.X0x01 漏洞详情HPE Systems Insight Manager(SIM)是用于多个HPE服务器、存储和网络产品的管理和远程支持自动化解决方案。2020年12月15日,HPE发布安全公告,公布了SIM中的一个远程代码执...
cvss漏洞评分标准_CVE202017521 | Apache Groovy漏洞通告
weixin_29547681的博客
12-23 1214
0x00 漏洞概述CVE IDCVE-2020-17521时 间2020-12-07类 型权限升级/信息泄露等 级高危远程利用否影响范围0x01 漏洞详情Groovy 是 Apache 旗下的一门基于 JVM 平台的动态编程语言,在语言的设计上其吸纳了 Python、Ruby 和 Smalltalk 语言的特点,语法简练,开发效率高。2020年12月06日,Ap...
【安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
谷歌浏览器又曝漏洞,黑客可劫持目标计算机
10-22 336
如果您在Windows,Mac或Linux计算机上使用Google Chrome浏览器,则需要立即将网络浏览软件更新为Google今天早些时候发布的最新版本。 谷歌今天发布了Chrome版本86.0.4240.111,以修复多个安全高严重性问题,其中包括一个零日漏洞,黑客攻击者利用该漏洞在野外劫持了目标计算机。 被跟踪为CVE-2020-15999的主动利用漏洞是一种内存损坏漏洞,在Freetype中称为堆缓冲区溢出,Freetype是一种流行的开源软件开发库,用于渲染Chrome随附的字体。 该漏洞是由
信息安全术语-cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
-
05-09 3662
cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
网安术语简述( CVSS、EPSS 、CVE、CWE、CPE、APT、NVD、CNNVD、CNVD)
weixin_57405945的博客
05-21 624
CVSS(通用漏洞评分系统),用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。 EPSS (利用预测评分系统),是为了测量特定的漏洞在野外被利用的可能性。 CVE (通用漏洞和曝光),是一个公开的数据库,用于记录和识别已知的计算机安全漏洞、软件缺陷或安全风险。每个CVE条目都有一个唯一的标识符,用于引用特定的安全问题。 CWE ( 通用弱点枚举),为软件安全弱点提供了一个分类和命名系统,旨在通过对所有已识别的缺陷和暴露进行分类,帮助组织更好地解决漏洞。 CPE (通用平台枚举),是一个标
CVE&CWE概念及其关系
热门推荐
fufu_good的博客
01-29 10万+
1. 概念 CVE (Common Vulnerabilities & Exposures,通用漏洞和风险)是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。 CWE(Common Weakness Enumeration,通...
通用漏洞评估方法CVSS3.0
weixin_33725515的博客
06-11 1976
CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。1.度量(Metrics)CVSS3.0由三...
安全漏洞评分系统CVSS
2301_76563067的博客
09-26 2461
通用漏洞评分系统(Common Vulnerability Scoring System,CVSS) CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞
Windows XP SP0 MS06-040漏洞详解:远程代码执行与修复
MS06-040漏洞是针对Windows XP SP0的一个严重安全问题,漏洞编号CVE-2006-3439,属于栈溢出类型的远程代码执行漏洞。由于Svchost进程中的NetpwPathCanonicalize函数存在缺陷,恶意攻击者可以利用此漏洞远程服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值