严重 Apache Struts2 远程代码执行漏洞（S2-061）

CVE编号

CVE-2020-17530

利用情况

漏洞武器化

补丁情况

官方补丁

披露时间

2020-12-11

漏洞描述

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞（CVE-2020-17530），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。

解决建议

Upgrade to Struts 2.5.26 or greater。

参考链接
http://jvn.jp/en/jp/JVN43969166/index.html
http://packetstormsecurity.com/files/160721/Apache-Struts-2-Forced-Multi-OGNL...
http://www.openwall.com/lists/oss-security/2022/04/12/6
https://cwiki.apache.org/confluence/display/WW/S2-061
https://security.netapp.com/advisory/ntap-20210115-0005/
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	struts	*	From (including) 2.0.0	Up to (including) 2.5.25

阿里云评分 9.9

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 漏洞武器化
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-917	表达式语言语句中使用的特殊元素转义处理不恰当（表达式语言注入）
CWE-94	对生成代码的控制不恰当（代码注入）

Exp相关链接

• https://github.com//wuzuowei/CVE-2020-17530
• https://github.com/154802388/CVE-2020-17531
• https://github.com/Al1ex/CVE-2020-17530
• https://github.com/ciakim/CVE-2020-17530
• https://github.com/CyborgSecurity/CVE-2020-17530
• https://github.com/fengziHK/CVE-2020-17530-strust2-061
• https://github.com/ka1n4t/CVE-2020-17530
• https://github.com/killmonday/CVE-2020-17530-s2-061
• https://github.com/ludy-dev/freemarker_RCE_struts2_s2-061
• https://github.com/pangyu360es/CVE-2020-17530
• https://github.com/phil-fly/CVE-2020-17530
• https://github.com/uzzzval/CVE-2020-17530
• https://github.com/vulhub/vulhub/tree/master/struts2/s2-061
• https://github.com/wuzuowei/CVE-2020-17530
• https://github.com/Xia0Ny1/CVE-2020-17531
• https://github.com/zhzyker/vulmap

- avd.aliyun.com