1、漏洞背景描述
2020年12月08日,Apache Struts官方发布安全公告,披露Struts远程代码执行漏洞(S2-061、CVE-2020-17530)。
2、漏洞概述
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。
在特定的环境下,攻击者通过构造恶意的OGNL表达式,可造成远程代码执行。
3、漏洞风险
攻击者成功利用该漏洞,可以实现远程代码执行。
4、漏洞影响
Apache Struts 2.0.0 - 2.5.25
5、修复建议
建议相关用户尽快将struts2升级到最新版本。
参考链接:https://cwiki.apache.org/confluence/display/WW/S2-061