关于Apache Struts2(S2),这是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心，吸收了Struts框架的部分优点，提供了一个更加整洁的MVC设计模式实现。

热点 2024-11-08 0°

Apache Struts2 远程代码执行漏洞(S2-062)是一个已知的漏洞，攻击者可以利用此漏洞来控制受影响的系统。该漏洞是由于 2020 年 S2-061(CVE-2020-17530)的不完整修复造成的，当开发人员使用了 %{} 语法进行强制类型转换时，攻击者可以通过构造特殊的数据包来触发该漏洞。

目前，Apache官方已针对该漏洞发布安全公告，并且漏洞利用代码已被公布在互联网上，请受影响用户及时检查是否受该漏洞影响。另外，已通过升级方式修复了Apache Struts2 (S2-045)远程代码执行漏洞的用户，不在该漏洞影响的范围内。

受影响的用户可将Apache Struts 2.3.32或Apache Struts 2.5.10.1升级到最新版本来消除漏洞影响。官方公告的链接为：https://cwiki.apache.org/confluence/display/WW/S2-046。

若用户不便进行版本升级，可以采用官方发布的应急Jakarta插件版本以解决紧急问题。该插件下载链接为：https://github.com/apache/struts-extras。另外，还可以选择其他Multipart parser应用，例如Pell等。相关链接请参见：https://cwiki.apache.org/confluence/display/S2PLUGINS/Pell+Multipart+Plugin。

CNNVD会继续关注上述漏洞的情况，并及时发布相关信息。如有需要了解更多信息或者与CNNVD联系，请联系：cnnvd@itsec.gov.cn。