一、概要

近日，華為云關(guān)注到Apache Struts官方披露 S2-059 Struts2遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0230），作為Struts框架默認(rèn)使用的表達(dá)式語(yǔ)言O(shè)GNL，當(dāng)對(duì)使用某些tag（如id）會(huì)進(jìn)行強(qiáng)制雙重校驗(yàn)時(shí)，通過(guò)精心設(shè)計(jì)的請(qǐng)求，攻擊者可以構(gòu)造惡意的OGNL表達(dá)式來(lái)進(jìn)行代碼注入，觸發(fā)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Apache Struts的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-059?spm=a2c4g.11174386.n2.3.40ac1051vjfTnI

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Struts 2.0.0 - 2.5.20

安全版本：

Apache Struts >= 2.5.22

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

新版本請(qǐng)參考：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

目前，華為云WAF已具備對(duì)該漏洞攻擊的防御能力，華為云WAF用戶將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式即可，具體方法請(qǐng)參見(jiàn) 配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。