2020年12月8日，国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 远程代码执行漏洞（CNVD-2020-69833，对应CVE-2020-17530）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞细节已公开，厂商已发布升级版本修复此漏洞。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。

2020年12月8日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE-2020-17530）。由于Struts2会对一些标签属性的属性值进行二次解析，当这些标签属性使用了 `%{x}` 且 `x` 的值用户可控时，攻击者利用该漏洞，可通过构造特定参数，获得目标服务器的权限，实现远程代码执行攻击。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Struts 2.0.0-2.5.25

三、漏洞处置建议

经综合技术研判，该漏洞的利用条件较高，难以进行大规模利用。Apache公司已发布了新版本（2.5.26）修复了该漏洞，CNVD建议用户及时升级至最新版本：

请各相关单位、部门高度重视，增强风险意识和防范意识，严格贯彻落实“谁主管，谁负责”的要求，对本单位、本部门所负责的网站（学校自建的网站除外）、信息系统及时联系开发、运维公司查找是否存在上述安全漏洞，及时修复。

若有问题，请联系网络安全和信息化办公室。

联系电话：88288190

 

附：参考链接：

https://cwiki.apache.org/confluence/display/WW/S2-061

（转自国家信息安全漏洞共享平台）

 

 

 

                           网络安全和信息化办公室  

   2020年12月10日