漏洞描述

Apache Struts2框架是一個(gè)用于開(kāi)發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-17530），在使用某些tag等情況下可能存在OGNL表達(dá)式注入漏洞，從而造成遠(yuǎn)程代碼執(zhí)行，風(fēng)險(xiǎn)極大。阿里云應(yīng)急響應(yīng)中心提醒Apache Struts用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Struts 2.0.0 - 2.5.25

安全版本

Apache Struts >= 2.5.26

安全建議

將Apache Struts框架升級(jí)至最新版本。