安全通告：Apache Struts远程代码执行漏洞（CVE-2019-0230）

【漏洞说明】

北京时间2020年8月13日，Apache Struts官方发布了远程代码执行漏洞（CVE-2019-0230）的风险通告。该漏洞源于Apache Struts的框架在被强制使用时，会对标签的属性进行二次求值，这可能导致远程代码执行。只有在Struts标签属性中强制使用OGNL表达式时，才能触发漏洞。

【威胁等级】

高危

【影响范围】

受影响的产品版本如下：

Struts 2.0.0 – Struts 2.5.20

【解决方法】

方法一：更新Apache Struts官方发布的新版本（推荐）

Apache Struts发布的新版已修复该漏洞，可以从以下地址下载：

https://struts.apache.org/download.cgi#struts2522

方法二：开启ONGL表达式注入保护措施

更多详尽信息，请参考Apache Struts官方的通告：

https://cwiki.apache.org/confluence/display/ww/s2-059