关于Apache Struts 远程代码执行漏洞（S2-059、CVE-2019-0230）的风险提示

一、背景介绍

8月13日，市委网信办支撑单位监测到Apache Struts 官方发布安全公告，披露 S2-059 Struts2 远程代码执行漏洞。

1.1漏洞描述

Struts2在使用某些tag等情况下可能存在OGNL表达式注入，从而造成远程代码执行，例如：<s:url var=url namespace=/employee action=list/><s:a id=%{skillName} href=%{url}>List available Employees</s:a>。

1.2漏洞编号

CVE-2019-0230

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

Apache Struts 2.0.0 - 2.5.20

2.2 修复建议

升级到Struts 2.5.22:

https://cwiki.apache.org/confluence/display/WW/S2-059