近日，Apache Struts披露 S2-061 Struts 远程代码执行漏洞（CVE-2020-17530），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。如果开发人员使用了 %{…} 语法，那么攻击者可以通过构造恶意的 OGNL 表达式，引发OGNL表达式二次解析，最终造成远程代码执行的影响。

【受影响版本】

Apache Struts 2.0.0 - 2.5.25

【安全版本】

Apache Struts >= 2.5.26

        Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

缓解措施：

如果目前无法升级，若业务环境允许，使用白名单限制相关web项目的访问来降低风险。

修复建议:

将Apache Struts框架升级至最新版本。