一、近期，发现Apache Struts2 远程代码执行漏洞（CVE编号：CVE-2020-17530）。Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。应用范围较广，因此威胁影响范围较大。
二、漏洞描述
如果开发人员使用了 %{…} 语法，攻击者可以通过构造恶意的OGNL表达式，引发OGNL表达式二次解析，造成远程代码执行。
三、影响范围
• Apache Struts 2.0.0 - 2.5.25
四、解决方案
将Apache Struts框架升级至最新版本，相关参考链接如下：
https://cwiki.apache.org/confluence/display/WW/S2-061