Apache Struts2 远程代码执行漏洞 修复指南

风险描述

Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。由于对CVE-220-17530的修复不完整，导致输入验证不正确。如果开发人员使用%{…}语法应用强制OGNL取值运算，则标记的一些属性可能会执行双重求值语法。对不受信任的用户输入OGNL语句可能会导致远程代码执行。

修复建议

1、版本升级。建议升级到安全版本 >= 2.5.30， 升级链接：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

2、修复验证。

若您在修复过程中遇到任何困难或有其他相关疑问，可联系华籁云技术工程师获取支持。

关于我们：华籁云（www.hualaiyun.cn）隶属南京华籁云信息技术有限公司，是一家专注于网站及服务器综合业务提供商。服务包括：南京网站建设、南京域名注册、南京虚拟主机、南京服务器租用、南京服务器维护、南京网站维护，公司配有客服、技术、开发等部门，拥有数名安全专家，7*24为用户提供技术服务。

欢迎联系华籁云（HUALAIYUN）我们将竭诚为您服务!

接待地址：南京市文景路61号垠坤创芯汇（各区均有办公接待处） 贴心服务：一个电话免费预约来访或者上门洽谈