8月13日Apache Struts 官方宣布清静通告,�,披露 S2-059 Struts2 远程代码执行误差�。�。
一、误差形貌
Struts2在使用某些tag等情形下可能保存OGNL表达式注入,�,从而造成远程代码执行,�,例如:�:<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>�。�。
误差编号
CVE-2019-0230
误差品级
高危
二、修复建议
2.1受影响版本
Apache Struts 2.0.0 - 2.5.20
2.2 修复建议
升级到Struts 2.5.22:
https://cwiki.apache.org/confluence/display/WW/S2-059
