Apache Struts 修复 OGNL 技术中可能存在的 RCE 缺陷

Apache Struts 作为开源的 MVC Web 应用框架，可使开发人员构建 Java 应用，一直以来受到多个严重漏洞的影响，而其中很多漏洞和 Struts 2 应用的 OGNL 技术有关。

Apache 发布安全公告指出，该漏洞的编号为 CVE-2020-17530。当通过 %{...} 语法应用强制性 OGNL 评估时，标记的属性可执行双重评估。另外，当强制性 OGNL 评估应用于不受信任的输入时，可实现远程代码执行。

类似漏洞（CVE-2019-0230）曾在2020年8月份发布新版本 Struts 2.5.22时解决。

按照设计，Struts 2 中包含双重评估功能，在既定表达式中引用经验证的值后应用。然而，当引用不受信任的用户输入时，就可能导致恶意代码遭注入。

Apache 提出的缓解措施很简单：开发人员应当确保强制性 OGNL 评估为用于不受信任的输入中。

该漏洞影响 Struts 2.0.0 至 Struts 2.5.25，且已在 Struts 2.5.26 中解决，通过执行检查确保表达式评估不会导致双重评估。

美国国土安全部 CISA 发布安全公告，通知该漏洞补丁已发布，并发布警告称该缺陷可导致攻击者接管易受攻击的系统，并建议用户和管理员应用补丁。