一、背景介绍
12月8日,市委网信办技术支撑单位监测到Apache Struts官方披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)。
1.1漏洞描述
Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。如果开发人员通过使用%{…}语法应用了强制 OGNL 求值,某些 tag 的属性可以执行双重求值。对不受信任的用户输入使用强制 OGNL 求值可能会导致远程执行代码。
1.2漏洞编号
CVE-2020-17530
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Struts 2.0.0 - 2.5.25
2.2 修复建议
避免对不受信任的用户输入使用强制 OGNL 求值
升级到 struts2.5.26