漏洞描述

近日，监测到 Apache Struts2 远程代码执行漏洞在互联网上流传， Apache Struts2 是一个用于开发 Java EE 网络应用程序的开放源代码网页程序架构。它利用并延伸了 Java ServletAPI，鼓励开发者采用 MVC 架构。由于对 CVE-2020-17530 的修复不完整，导致输入验证码不正确。对不受信任的用户输入使用强制 OGNL 评估可能会导致远程代码执行。

漏洞危害

攻击者可利用该漏洞进行远程代码执行

漏洞等级

高危

受影响版本

Apache Struts2 2.0.0～2.5.29

不受影响版本

Apache Struts2 >= 2.5.30

修复方案

根据影响版本中的信息，排查并升级到不受影响的版本

临时修补建议

避免对不受信任的用户输入使用强制 OGNL 评估