一、背景介绍

      12月8日，市委网信办技术支撑单位监测到Apache Struts官方披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)。

      1.1漏洞描述

      Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。如果开发人员通过使用%{…}语法应用了强制 OGNL 求值，某些 tag 的属性可以执行双重求值。对不受信任的用户输入使用强制 OGNL 求值可能会导致远程执行代码。

      1.2漏洞编号

      CVE-2020-17530

      1.3漏洞等级

      高危

二、修复建议

      2.1 受影响版本

      Apache Struts 2.0.0 - 2.5.25

      2.2 修复建议

      避免对不受信任的用户输入使用强制 OGNL 求值

      升级到 struts2.5.26