Apache Struts2 远程代码执行漏洞

风险描述

Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。由于对CVE-220-17530的修复不完整，导致输入验证不正确。如果开发人员使用%{…}语法应用强制OGNL取值运算，则标记的一些属性可能会执行双重求值语法。对不受信任的用户输入OGNL语句可能会导致远程代码执行。

漏洞详情：https://avd.aliyun.com/detail?id=AVD-2021-31805

修复建议

1、版本升级。建议升级到安全版本 >= 2.5.30， 升级链接：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

若您在修复过程中遇到任何困难或有其他相关疑问，可前往安全管控，点击“需要安全帮助”，联系技术工程师获取支持。