一 漏洞概述

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架。2020年8月13日，Apache官方发布公告，修复了一个Apache Struts2远程代码执行漏洞（CVE-2019-0230）。该漏洞源于Struts 2会对某些标签的属性值进行二次表达式解析，当使用%{...} or ${...}语法对标签属性进行强制解析的情况下，OGNL表达式中引用未经验证的用户输入，通过构造恶意的OGNL表达式，导致远程代码执行。

二 影响版本

Apache Struts 2.0.0-2.5.20

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache Struts2” 进行搜索，共得到172,757,104条 IP 历史记录，主要分布在美国等国家。

五 修复建议

Apache官方已经发布新版本，请升级到Struts 2.5.22或更高版本，下载地址：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

临时措施：

开启ONGL表达式注入保护，参考链接：

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

六 时间线

Apache官方发布通告时间：2020年8月13日

知道创宇发布漏洞情报时间：2020年8月14日

七 相关链接

https://cwiki.apache.org/confluence/display/WW/S2-059

ZoomEye 网络空间搜索引擎：

https://www.zoomeye.org/searchResult/report?q=Apache%20Struts2