近日，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Apache Struts2 S2-061遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-202012-449、CVE-2020-17530）情況的報(bào)送。成功利用漏洞的攻擊者可以在目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。目前，Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。

　　一、漏洞介紹

　　ApacheStruts2是美國(guó)阿帕奇（Apache）軟件基金會(huì)下屬的Jakarta項(xiàng)目中的一個(gè)子項(xiàng)目，是一個(gè)基于MVC設(shè)計(jì)的Web應(yīng)用框架。

　　洞源于Apache Struts2在某些標(biāo)簽屬性中使用OGNL表達(dá)式時(shí)，因?yàn)闆](méi)有做內(nèi)容過(guò)濾，導(dǎo)致攻擊者傳入精心構(gòu)造的請(qǐng)求時(shí)，可以造成OGNL二次解析，執(zhí)行指定的惡意代碼。

　　二、危害影響

　　成功利用漏洞的攻擊者可以在目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。

　　三、修復(fù)建議

　　目前，Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。Apache官方更新鏈接如下：

　　http://struts.apache.org/download.cgi

　　本通報(bào)由CNNVD技術(shù)支撐單位——亞信安全科技有限公司、內(nèi)蒙古洞明科技有限公司、北京華順信安科技有限公司、上海斗像信息科技有限公司、北京奇虎科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、深信服科技股份有限公司、遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、內(nèi)蒙古奧創(chuàng)科技有限公司、杭州安恒信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、新華三技術(shù)有限公司等技術(shù)支撐單位提供支持。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。

　　聯(lián)系方式： cnnvd@itsec.gov.cn