Apache Struts 2远程代码执行漏洞 (CVE-2020-17530) 预警

一、基本情况

12月8日，监测发现Apache官方发布Struts 2.0.0至2.5.25版本中存在远程代码执行漏洞（S2-061）公告，对应CVE编号：CVE-2020-17530。在特定的环境下，远程攻击者通过构造恶意的OGNL表达式 ,可造成任意代码执行。

目前，Apache官方已发布新版本修复该漏洞，建议受影响用户及时将Struts 2升级至2.5.26版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

Apache Struts 2是一个用于开发Java EE网络应用程序的开源网页应用程序架构。

该漏洞源于Struts 2.0.0到2.5.25版本中，Struts 2在某些标签属性中强制执行OGNL表达式时，可造成OGNL表达式二次解析，从而实现远程代码执行。

四、影响范围

Apache Struts 2 : 2.0.0 - 2.5.25

五、处置建议

目前，Apache官方已发布新版本，建议受影响用户及时升级至2.5.26版本。下载地址：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

六、参考链接

1）https://cwiki.apache.org/confluence/display/WW/S2-061

支持单位：

上海观安信息技术股份有限公司

上海斗象信息科技有限公司

北京天融信科技有限公司

深信服科技股份有限公司

绿盟科技集团股份有限公司

杭州安恒信息技术股份有限公司

北京祥云网安科技有限责任公司

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。