接教育廳通知，Apache Struts存在遠程代碼執行漏洞（CVE-2021-31805），攻擊者可構造惡意請求觸發漏洞，在目標服務器上實現遠程代碼執行。

鑒於Struts2開源框架應用廣泛，此提醒廣大校園網用戶在確保安全的前提下盡快升級至安全版本，做好資產自檢和預防工作，提高係統安全防護能力，嚴防網絡攻擊事件。

一、漏洞情況分析

Struts2是一個基於MVC設計模式的Web應用框架，它本質上相當於一個servlet，在MVC設計模式中，Struts2作為控製器(Controller)來建立模型與視圖的數據交互。官方描述，由於對CVE-2020-17530(S2-061)的修複不完善。導致一些標簽的屬性仍然可以執行OGNL表達式，最終可導致遠程執行任意代碼。

二、漏洞影響範圍

2.0.0<=Apache Struts<=2.5.29

三、解決方案

目前官方已發布新版本修複了此漏洞，請受影響的用戶盡快升級至安全版本。

參考鏈接：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30