一、漏洞详情

2020年8月13日，Apache官方发布Struts 2.0.0到2.5.20版本中存在OGNL表达式注入的远程代码执行漏洞（S2-059）和拒绝服务漏洞（S2-060）公告，对应CVE编号：CVE-2019-0230、CVE-2019-0233。

根据公告，在Struts 2.0.0版本的double evaluation机制中，当在Struts标签属性内强制执行OGNL evaluation时存在被恶意注入OGNL表达式的风险，从而实现代码执行效果；另外在将文件上传到使用getter暴露文件的Action时，恶意攻击者可以操纵该请求，实现拒绝服务效果，建议部署有该框架的应用及时升级到漏洞修复的版本。

二、受影响范围

OGNL表达式注入的远程代码执行漏洞（CVE-2019-0230）和拒绝服务漏洞（CVE-2019-0233）影响以下版本：

Struts 2.0.0-Struts 2.5.20，建议更新到Struts 2.5.22以上版本

三、建议修复方式

目前漏洞细节和利用代码已经部分公开，参考S2-029、S2-036的利用应该很快会出现利用代码，建议及时测试并升级到漏洞修复的版本，或部署必要的安全防护设备拦截恶意攻击代码。

安全开发和安全运营建议：

基于Struts 2的开发不要在标签属性中使用％{...}语法引用未经验证的用户可修改输入；除了Struts 2，近期还应该及时关注Tomcat、Weblogic、WebSphere、JBOSS、Spirng FrameWork、Shiro、CAS、Fastjson等服务和框架组件的漏洞公告。