漏洞描述

Apache Struts2框架是一個用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 遠程代碼執(zhí)行漏洞（CVE-2020-17530），在使用某些tag等情況下可能存在OGNL表達式注入漏洞，從而造成遠程代碼執(zhí)行，風(fēng)險極大。阿里云應(yīng)急響應(yīng)中心提醒Apache Struts用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Struts 2.0.0 - 2.5.25

安全版本

Apache Struts >= 2.5.26

安全建議

將Apache Struts框架升級至最新版本。