近日，國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache Struts2 S2-061遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-202012-449、CVE-2020-17530)情況的報(bào)送。成功利用漏洞的攻擊者可以在目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。目前，Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。

　　一、漏洞介紹

　　ApacheStruts2是美國(guó)阿帕奇(Apache)軟件基金會(huì)下屬的Jakarta項(xiàng)目中的一個(gè)子項(xiàng)目，是一個(gè)基于MVC設(shè)計(jì)的Web應(yīng)用框架。

　　洞源于Apache Struts2在某些標(biāo)簽屬性中使用OGNL表達(dá)式時(shí)，因?yàn)闆]有做內(nèi)容過濾，導(dǎo)致攻擊者傳入精心構(gòu)造的請(qǐng)求時(shí)，可以造成OGNL二次解析，執(zhí)行指定的惡意代碼。

　　二、危害影響

　　成功利用漏洞的攻擊者可以在目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。

　　三、修復(fù)建議

　　目前，Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。Apache官方更新鏈接如下：

　　http://struts.apache.org/download.cgi

　　原文來源：CNNVD安全動(dòng)態(tài)