安全通告

Apache Struts2远程代码执行漏洞安全风险通告

发布日期：2022-4-13

漏洞描述

近日，监测到Apache Struts2远程代码执行漏洞在互联网上流传，Apache Struts2 是一个用于开发Java EE网络应用程序的开放源代码网页程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。由于对CVE-2020-17530的修复不完整，导致输入验证码不正确。如果开发人员使用%{…}语法应用强制OGNL评估，标签的一些属性仍然可以执行双重评估。对不受信任的用户输入使用强制OGNL评估可能会导致远程代码执行。

漏洞危害

攻击者可利用该漏洞进行远程代码执行

漏洞等级

高危
受影响版本

Apache Struts2  2.0.0～2.5.29

不受影响版本

Apache Struts2 >= 2.5.30

修复方案

根据影响版本中的信息，排查并升级到不受影响的版本

临时修补建议

避免对不受信任的用户输入使用强制OGNL评估

参考链接

• https://cwiki.apache.org/confluence/display/WW/S2-062