一、事件描述

近日，广西教育系统网络安全监测中心通过Apache官方发布安全通告得知，其修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。该漏洞编号为S2-061的修复不完全，当开发人员使用了%{...}语法进行强制OGNL解析时，仍有一些特殊的TAG属性可被二次解析；攻击者可构造恶意的OGNL表达式触发漏洞，从而实现远程代码执行。

Apache Struts是用于创建Java Web应用程序的开源框架，应用非常广泛。该漏洞已在2.5.30版本中修复，建议相关用户尽快升级版本进行防护。广西教育系统网络安全监测中心将持续关注该漏洞进展，为您提供最新消息。

二、影响范围

受影响版本：

2.0.0 <= Apache Struts <= 2.5.29

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危。

四、安全建议

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快更新进行防护，下载链接：

https://struts.apache.org/download.cgi#struts-ga