【漏洞通告】Apache Struts远程代码执行漏洞S2-061（CVE-2020-17530）

通告编号:NS-2020-0070

2020-12-08

1

漏洞概述

2020年12月8日，Struts官方发布安全通告，披露了一个远程代码执行漏洞S2-061（CVE-2020-17530）。该漏洞与S2-059类似，问题源于当开发人员使用了 %{…} 语法进行强制OGNL解析时，某些特殊的TAG属性可能会被二次解析；攻击者可构造恶意的OGNL表达式触发漏洞，造成远程代码执行。

Apache Struts是用于创建Java Web应用程序的开源框架，应用非常广泛。该漏洞已在2020年12月6日发布的Struts 2.5.26版本中修复，建议相关用户尽快升级版本进行防护。

参考链接：

https://struts.apache.org/announce.html#a20201206

https://cwiki.apache.org/confluence/display/WW/S2-061

SEE MORE →

2影响范围

受影响版本

• Apache Struts 2.0.0 - 2.5.25

不受影响版本

• Apache Struts >= 2.5.26

3漏洞检测

3.1 版本检测

maven的项目可通过pom.xml查看当前使用的Struts2版本：

也可通过查看lib中的核心包查看Strut2版本：

若当前版本在受影响范围内，则可能存在安全风险。

4漏洞防护

4.1 官方升级

目前官方已发布2.5.26版本修复了此漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：https://struts.apache.org/download.cgi#struts-ga

4.2 临时防护措施

若相关用户暂时无法进行升级操作，可使用以下措施进行临时缓解：

1. 将输入参数的值重新分配给某些Struts的标签属性时，始终对其进行验证，不要在值以外的标签属性中使用%{...} 语法引用用户可修改的输入。

2. 开启ONGL表达式注入保护

参阅官方指南：

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

END

作者：绿盟科技威胁对抗能力部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。