漏洞简述
监测发现Apache Struts2存在远程代码执行漏洞。Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。由于对之前一个漏洞(CVE-2020-17530)的修复不完整,导致输入验证产生异常,若使用 %{...} 语法应用强制 OGNL 评估,标签的特定属性仍可执行双重评估。对未经验证的输入使用强制 OGNL 评估会导致远程代码执行。
影响范围
影响版本Apache Struts2 2.0.0 ~ 2.5.29
安全版本Apache Struts2 >= 2.5.30
解决方案
通用措施:请立即排查并升级到安全版本
临时措施:避免对不受信任的用户输入使用强制 OGNL 评估。
