CVE-2020-17530 (CNNVD-202012-449)

CRITICAL
中文标题:
Apache Struts 代码注入漏洞
英文标题:
Forced OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code ...
CVSS分数: 9.8
发布时间: 2020-12-11 01:11:04
漏洞类型: 代码注入
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Struts 存在代码注入漏洞,攻击者可利用该漏洞可以通过强迫Struts的OGNL评估来使用漏洞来运行代码。

英文描述:

Forced OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution. Affected software : Apache Struts 2.0.0 - Struts 2.5.25.

CWE类型:
CWE-917
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
Apache Software Foundation Apache Struts Struts 2.0.0 - Struts 2.5.25 - - cpe:2.3:a:apache_software_foundation:apache_struts:struts_2.0.0_-_struts_2.5.25:*:*:*:*:*:*:*
apache struts * - - cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*
oracle business_intelligence 12.2.1.3.0 - - cpe:2.3:a:oracle:business_intelligence:12.2.1.3.0:*:*:*:enterprise:*:*:*
oracle business_intelligence 12.2.1.4.0 - - cpe:2.3:a:oracle:business_intelligence:12.2.1.4.0:*:*:*:enterprise:*:*:*
oracle communications_diameter_intelligence_hub 8.0.0 - - cpe:2.3:a:oracle:communications_diameter_intelligence_hub:8.0.0:*:*:*:*:*:*:*
oracle communications_diameter_intelligence_hub 8.1.0 - - cpe:2.3:a:oracle:communications_diameter_intelligence_hub:8.1.0:*:*:*:*:*:*:*
oracle communications_diameter_intelligence_hub 8.2.0 - - cpe:2.3:a:oracle:communications_diameter_intelligence_hub:8.2.0:*:*:*:*:*:*:*
oracle communications_diameter_intelligence_hub 8.2.3 - - cpe:2.3:a:oracle:communications_diameter_intelligence_hub:8.2.3:*:*:*:*:*:*:*
oracle communications_policy_management 12.5.0 - - cpe:2.3:a:oracle:communications_policy_management:12.5.0:*:*:*:*:*:*:*
oracle communications_pricing_design_center 12.0.0.3.0 - - cpe:2.3:a:oracle:communications_pricing_design_center:12.0.0.3.0:*:*:*:*:*:*:*
oracle financial_services_data_integration_hub 8.0.3 - - cpe:2.3:a:oracle:financial_services_data_integration_hub:8.0.3:*:*:*:*:*:*:*
oracle financial_services_data_integration_hub 8.0.6 - - cpe:2.3:a:oracle:financial_services_data_integration_hub:8.0.6:*:*:*:*:*:*:*
oracle hospitality_opera_5 5.6 - - cpe:2.3:a:oracle:hospitality_opera_5:5.6:*:*:*:*:*:*:*
oracle mysql_enterprise_monitor 8.0.23 - - cpe:2.3:a:oracle:mysql_enterprise_monitor:8.0.23:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
无标题 x_refsource_CONFIRM
cve.org
访问
JVN#43969166 third-party-advisory
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_CONFIRM
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
[oss-security] 20220412 CVE-2021-31805: Apache Struts: Forced OGNL evaluation, when evaluated on raw not validated user input in tag attributes, may lead to RCE. mailing-list
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
134c704f-9b21-4f2e-91b3-4a467353bcc0 OTHER
nvd.nist.gov
访问
CVSS评分详情
3.1 (adp)
CRITICAL
9.8
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
机密性
HIGH
完整性
HIGH
可用性
HIGH
时间信息
发布时间:
2020-12-11 01:11:04
修改时间:
2025-10-21 23:35:31
创建时间:
2025-11-11 15:36:08
更新时间:
2025-11-11 15:56:33
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2020-17530 2025-11-11 15:20:26 2025-11-11 07:36:08
NVD nvd_CVE-2020-17530 2025-11-11 14:57:06 2025-11-11 07:44:34
CNNVD cnnvd_CNNVD-202012-449 2025-11-11 15:10:32 2025-11-11 07:56:33
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:56:33
vulnerability_type: 未提取 → 代码注入; cnnvd_id: 未提取 → CNNVD-202012-449; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 代码注入
  • cnnvd_id: 未提取 -> CNNVD-202012-449
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:44:34
affected_products_count: 1 → 14; references_count: 11 → 12; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 1 -> 14
  • references_count: 11 -> 12
  • data_sources: ['cve'] -> ['cve', 'nvd']