8月13日Apache Struts 官方发布安全公告,披露 S2-059 Struts2 远程代码执行漏洞。
一、漏洞描述
Struts2在使用某些tag等情况下可能存在OGNL表达式注入,从而造成远程代码执行,例如:<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>。
漏洞编号
CVE-2019-0230
漏洞等级
高危
二、修复建议
2.1受影响版本
Apache Struts 2.0.0 - 2.5.20
2.2 修复建议
升级到Struts 2.5.22:
https://cwiki.apache.org/confluence/display/WW/S2-059