一、近期,发现Apache Struts2 远程代码执行漏洞(CVE编号:CVE-2020-17530)。Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。应用范围较广,因此威胁影响范围较大。
二、漏洞描述
如果开发人员使用了 %{…} 语法,攻击者可以通过构造恶意的OGNL表达式,引发OGNL表达式二次解析,造成远程代码执行。
三、影响范围
• Apache Struts 2.0.0 - 2.5.25
四、解决方案
将Apache Struts框架升级至最新版本,相关参考链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-061