ognl

据最新公布的调查报告显示，撞库攻击正在大幅增加，过去一年半时间里，共有35亿次撞库攻击尝试。而在去年受到网络攻击的企业中，有一半是针对金融服务业的。 数据还显示，从去年12月初到今年5月，有近20万个网络钓鱼域名被发现，除了针对金融服务企业外，还有三分之二是针对一般用户的

2022年4月13日，Apache官方发布了Apache Struts2的风险通告，漏洞编号为CVE-2021-31805，漏洞等级：高危，漏洞评分：8.5。由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式，当对标签属性中未经验证的原始用户输入进行二次解析时，可能会导致远程代码执行，攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行