安全预警 - 华为某产品存在Apache Struts2 S2-059远程命令执行漏洞
- 预警编号:huawei-sa-20200902-01-struts2
- 初始发布时间: 2020年09月02日
- 更新发布时间: 2021年02月10日
华为某设备存在该漏洞。在使用某些tag等情况下可能存在OGNL表达式注入漏洞。如果存在外部可控且会执行OGNL表达式的Struts2标签,攻击者则可以通过构造恶意的OGNL表达式,并将其设置为该标签的属性值,最终引发OGNL表达式解析,造成远程代码执行。 (漏洞编号:HWPSIRT-2020-49789)
此漏洞的CVE编号为: CVE-2019-0230.华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200902-01-struts2-cn
|
产品名称 |
版本号 |
修复版本号 |
|
Agile Controller-Campus |
V100R002C00 |
V100R003C60SPC210 |
|
V100R002C10 |
||
|
V100R002C10SPC400 |
||
|
V100R002C10SPC403 |
||
|
V100R002C10SPC405 |
||
|
V100R002C10SPC408 |
||
|
V100R002C10SPC409 |
||
|
V100R003C30 |
||
|
V100R003C50 |
||
|
V100R003C60 |
||
|
SMSGW |
V100R001C01LG0701 |
V100R001C01LG8001 |
|
V100R001C01LG0801 |
||
|
V100R001C01LG0801SPC001 |
||
|
V100R001C01LG0901 |
||
|
V100R001C01LG0901SPC001 |
||
|
V100R002C11LG1901 |
V100R002C11LG3901 |
|
|
V100R002C11LG2501 |
||
|
V100R002C11LG2601 |
||
|
V100R002C11LG3001 |
||
|
V100R002C11LG3201 |
||
|
V100R002C11LG3501 |
||
|
V100R002C11LG3701 |
||
|
V100R002C11LG3801 |
||
|
V100R003C01LG2401 |
V100R003C01LG7601 |
|
|
V100R003C01LG3501 |
||
|
V100R003C01LG3601 |
||
|
V100R003C01LG3601SPC001 |
||
|
V100R003C01LG3701 |
||
|
V100R003C01LG3801 |
||
|
V100R003C01LG3901 |
||
|
V100R003C01LG4001 |
||
|
V100R003C01LG4101 |
||
|
V100R003C01LG4101SPC001 |
||
|
V100R003C01LG4201 |
||
|
V100R003C01LG4301 |
||
|
V100R003C01LG5101 |
||
|
V100R003C01LG5201 |
||
|
V100R003C01LG5401 |
||
|
V100R003C01LG5501 |
||
|
V100R003C01LG6001 |
||
|
V100R003C01LG6101 |
V100R003C01LG7901 |
|
|
V100R003C01LG6201 |
||
|
V100R003C01LG6301 |
||
|
V100R003C01LG6701 |
||
|
V100R003C01LG6801 |
||
|
V100R003C01LG6901 |
||
|
V100R003C01LG7001 |
||
|
V100R003C01LG7101 |
||
|
V100R003C01LG7201 |
V100R003C01LG7601 |
|
|
V100R003C01LG7301 |
||
|
V100R003C01LG7401 |
V100R003C01LG7901 |
|
|
V100R003C01LG7701 |
||
|
V100R003C01LRC001 |
V100R003C01LRC011 |
|
|
V100R003C01LRC003 |
||
|
V100R003C01LRC008 |
||
|
V100R003C01LRC009 |
||
|
V100R003C01LRC010SPC001 |
||
|
V100R003C01LRG001 |
V100R003C01LRG038 |
|
|
V100R003C01LRG002 |
||
|
V100R003C01LRG003 |
||
|
V100R003C01LRG009 |
||
|
V100R003C01LRG020 |
||
|
V100R003C01LRG021 |
||
|
V100R003C01LRG022 |
||
|
V100R003C01LRG024 |
||
|
V100R003C01LRG025 |
||
|
V100R003C01LRG029 |
||
|
V100R003C01LRG030 |
||
|
V100R003C01LRG032 |
||
|
V100R003C01LRG033 |
||
|
V100R003C01LRG034 |
||
|
V100R003C01LRG037 |
||
|
V100R003C01LRI001 |
||
|
V100R003C01LRI002 |
||
|
V100R003C01LRM001 |
||
|
V100R003C01LRS001 |
||
|
V100R003C01LRW001 |
||
|
V100R003C01LRW002 |
||
|
V100R003C01LU0701 |
V100R003C01LG7901 |
|
|
V100R003C01LU0801 |
||
|
V100R003C01LU0901 |
||
|
V100R003C01LU1001 |
||
|
V100R003C01LU1101 |
||
|
V100R003C01LU1201 |
||
|
V100R003C01LU1301 |
||
|
V100R003C01LU1401 |
||
|
V100R003C01LU1501 |
||
|
V100R003C01LU1601 |
||
|
V100R003C01LU1701 |
||
|
V100R003C01LU2201 |
||
|
V100R003C01LU2301 |
||
|
V100R003C01LU2601 |
||
|
V100R003C01LU2701 |
||
|
iManager NetEco |
V600R008C00 |
V600R009C10CP2003 |
|
V600R008C00SPC100 |
||
|
V600R008C10 |
||
|
V600R008C10SPC100 |
||
|
V600R008C20 |
||
|
V600R008C20SPC100 |
||
|
V600R008C30 |
||
|
V600R009C00 |
||
|
V600R009C10SPC200 |
||
|
iManager NetEco 6000 |
V600R007C80 |
V600R008C10CP5801 |
|
V600R007C80SPC100 |
||
|
V600R007C80SPC200 |
||
|
V600R007C90 |
||
|
V600R007C90SPC100 |
||
|
V600R007C91 |
||
|
V600R007C91SPC100 |
||
|
V600R008C00SPC100 |
||
|
V600R008C10SPC100 |
||
|
V600R008C10SPC300 |
||
|
V600R008C20 |
攻击者则可以通过构造恶意的OGNL表达式,并将其设置为该标签的属性值,最终引发OGNL表达式解析,造成远程代码执行。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
基础得分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
临时得分:8.2 (E:F/RL:O/RC:C)
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/psirt/report-vulnerabilities/index.htm
该漏洞是由Apache Struts2官网在安全公告S2-059中发布。
2021-02-10 V1.1 UPDATED 刷新受影响产品版本和修复信息;
2020-09-02 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
