安全社区

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。北京时间8月13日，其官方发出安全通告，其中包括对一个远程代码执行漏洞（S2-059，CVE-2019-0230）进行修复，漏洞等级：高危。漏洞评分：8.5。

建议各用户做好资产的排查工作，对存在漏洞的应用及时进行升级修复。

【漏洞描述】

攻击者可以通过构造恶意的OGNL表达式，并将其设置到可被外部输入进行修改，且会执行OGNL表达式的Struts2标签的属性值，引发OGNL表达式解析，最终造成远程代码执行的影响。

【漏洞影响版本】

Struts 2.0.0–Struts 2.5.20

【修复方案】

将Apache Struts框架升级至最新版本。安全版本为：Apache Struts >= 2.5.22

【参考资料】

https://cwiki.apache.org/confluence/display/WW/S2-059

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable