关于Apache Struts 远程代码执行漏洞S2-061风险提示

2020-12-0893

一、背景介绍

12月8日,市委网信办技术支撑单位监测到Apache Struts官方披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)。

1.1漏洞描述

Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。如果开发人员通过使用%{…}语法应用了强制 OGNL 求值,某些 tag 的属性可以执行双重求值。对不受信任的用户输入使用强制 OGNL 求值可能会导致远程执行代码。

1.2漏洞编号

CVE-2020-17530

1.3漏洞等级

高危


二、修复建议

2.1 受影响版本

Apache Struts 2.0.0 - 2.5.25

2.2 修复建议

避免对不受信任的用户输入使用强制 OGNL 求值

升级到 struts2.5.26