【漏洞详情】

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。近日Apache Struts官方披露 S2-061 Struts存在远程代码执行漏洞（CVE-2020-17530），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，成功利用此漏洞可导致远程代码执行，安全风险较大。

【漏洞评级】

高危

【 影响范围】

l  Apache Struts 2.0.0 - 2.5.25

【修复建议】

官方已经提供最新安全版本，建议受影响的用户结合实际业务评估漏洞风险影响，可通过升级安全版本(Struts 2.5.26)避免安全风险。

【参考链接】

https://cwiki.apache.org/confluence/display/WW/S2-061

特别提醒：清除恶意文件前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年12月8日