安全公告編號:CNTA-2020-0026

2020年12月8日𓀇，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Struts2 遠程代碼執行漏洞（CNVD-2020-69833➔，對應CVE-2020-17530）。攻擊者利用該漏洞，可在未授權的情況下遠程執行代碼📝。目前，漏洞細節已公開，廠商已發布升級版本修復此漏洞🛃🧙‍♂️。

一、漏洞情況分析

Struts2是第二代基於Model-View-Controller（MVC）模型的java企業級web應用框架，成為國內外較為流行的容器軟件中間件。

2020年12月8日，Apache Strust2發布最新安全公告，Apache Struts2存在遠程代碼執行的高危漏洞（CVE-2020-17530）🐓。由於Struts2會對一些標簽屬性的屬性值進行二次解析，當這些標簽屬性使用了 `%{x}` 且 `x` 的值用戶可控時，攻擊者利用該漏洞，可通過構造特定參數，獲得目標服務器的權限，實現遠程代碼執行攻擊。

CNVD對該漏洞的綜合評級為“高危”。

二🎷👩‍🦯、漏洞影響範圍

漏洞影響的產品版本包括：

Struts 2.0.0-2.5.25

三♟、漏洞處置建議

經綜合技術研判🧝🏽‍♂️，該漏洞的利用條件較高🧑🏼‍🍼👩🏼，難以進行大規模利用🌵。Apache公司已發布了新版本（2.5.26）修復了該漏洞🛄，CNVD建議用戶及時升級至最新版本🫱🏽：

https://cwiki.apache.org/confluence/display/WW/S2-061

附🏌🏻‍♀️：參考鏈接🧑🏻‍🤝‍🧑🏻：

https://cwiki.apache.org/confluence/display/WW/S2-061