7月7日，Apache Struts官方发布了漏洞编号为：S2-048的高危漏洞公告。

阿里云安全团队2小时内发布官方安全建议，跟踪S2-048的全球攻击趋势，并对不同漏洞版本进行了对比分析。

目前，阿里云云盾态势感知已支持检测，WAF默认支持防御。

一、影响范围

如果在ApacheStruts 2.3.x系列中启用了struts2-struts1-plugin插件，会受到该漏洞的影响。

二、攻击源分析

阿里云安全团队对S2-048在全球范围内的攻击源进行分析。

其中，有3/4的攻击源来自国内的北京、上海地区，1/4来自海外（美国、韩国）和香港地区。

三、原理及利用方法分析

在SaveGangsterAction.java的文件里看的有execute方法的实现，其中gforn.getName()是攻击者可控的，gforn.getName()的值可以带入messages结构中；

在Struts1Action.java里可以看到，其实是调用SaveGangsterAction.execute方法，然后再调用getText(msg.getKey())

getText方法会把actionmessages传递给com.opensymphony.xwork2.util.LocalizedTextUtil.getDefaultMessage ，

其中又调用了com.opensymphony.xwork2.util.TextParseUtil.translateVariables,它用来调用OGNL 表达式用处理字符串表达式；

使用EL表达式简单测试$(1>2)；

漏洞测试生效。

四、漏洞对比分析

阿里云安全团队将S2-045及S2-048漏洞的利用原理做了对比分析。

对比S2-045和S2-048的漏洞攻击次数发现，S2-045的危害程度和关注度比S2-048高；在S2-048漏洞爆发后，由于未公开POC和利用工具，当天被利用攻击的几率比较小，安全风险相对较低。

五、安全建议

• 及时检测是否受到漏洞影响：使用的Struts是 2.3.x版本，是否启用了struts2-struts1-plugin插件。使用阿里云云盾态势感知进行漏洞检测。
• 阿里云上用户可以禁用、关闭（删除）struts-2.3.xappsstruts2-showcase.war包； 建议关闭devmod模式（请根据自身业务情况决定是否关闭）。
• 开发者可以使用resourcekeys替代，将原始消息直接传递给ActionMessage的方式，以此作为根治措施。

正确方式：

messages.add("msg",new ActionMessage("struts1.gangsterAdded", gform.getName()))

错误方式：

messages.add("msg",new ActionMessage("Gangster " + gform.getName() + " wasadded"))

• 建议将Struts2升级到最新版本2.5.10.1。
• 使用阿里云云盾WAF对该漏洞进行防御。