近日，國家信息安全漏洞庫（CNNVD）收到關于Apache Struts2 S2-061遠程代碼執行漏洞（CNNVD-202012-449、CVE-2020-17530）情況的報送。成功利用漏洞的攻擊者可以在目標系統執行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。目前，Apache官方已經發布了版本更新修復了該漏洞。建議用戶及時確認產品版本，盡快采取修補措施。

　　一、漏洞介紹

　　ApacheStruts2是美國阿帕奇（Apache）軟件基金會下屬的Jakarta項目中的一個子項目，是一個基于MVC設計的Web應用框架。

　　洞源于Apache Struts2在某些標簽屬性中使用OGNL表達式時，因為沒有做內容過濾，導致攻擊者傳入精心構造的請求時，可以造成OGNL二次解析，執行指定的惡意代碼。

　　二、危害影響

　　成功利用漏洞的攻擊者可以在目標系統執行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。

　　三、修復建議

　　目前，Apache官方已經發布了版本更新修復了該漏洞。建議用戶及時確認產品版本，盡快采取修補措施。Apache官方更新鏈接如下：

　　http://struts.apache.org/download.cgi

　　本通報由CNNVD技術支撐單位——亞信安全科技有限公司、內蒙古洞明科技有限公司、北京華順信安科技有限公司、上海斗像信息科技有限公司、北京奇虎科技有限公司、北京山石網科信息技術有限公司、深信服科技股份有限公司、遠江盛邦（北京）網絡安全科技股份有限公司、內蒙古奧創科技有限公司、杭州安恒信息技術股份有限公司、北京天融信網絡安全技術有限公司、北京啟明星辰信息安全技術有限公司、浪潮電子信息產業股份有限公司、新華三技術有限公司等技術支撐單位提供支持。

　　CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。

　　聯系方式： cnnvd@itsec.gov.cn