Apache Struts远程代码执行安全风险通告

发布日期：2020-12-8

漏洞描述

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞（CVE-2020-17530），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。禹宏信安提醒Apache Struts用户尽快采取安全措施阻止漏洞攻击。

漏洞编号

CVE-2020-17530

漏洞危害

该漏洞在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行。如开发人员使用了 %{…} 语法，那么攻击者可以通过构造恶意的OGNL表达式，引发OGNL表达式二次解析，最终造成远程代码执行的影响。

漏洞等级

高危
受影响版本

Apache Struts 2.0.0 – 2.5.25

修复方案

将Apache Struts框架升级至最新版本，Apache Struts >= 2.5.26为安全版本。

参考链接

1. https://cwiki.apache.org/confluence/display/WW/S2-061