欢迎user
漏洞综述
漏洞背景
Apache Struts2是美国Apache软件基金维护的一个开源项目,实现了基于MVC设计模式的应用框架,可用于高效创建企业级Java WEB应用程序。新华三攻防实验室威胁预警团队监测到Apache Struts官方发布了一则S2-062远程代码执行漏洞的安全公告,漏洞编号为: CVE-2021-31805,成功利用此漏洞可对受害主机进行远程代码执行。
漏洞详情
该漏洞是由于CVE-2020-17530(S2-061)漏洞修复不完整导致的遗留问题;当开发者应用%{…}语法进行强制OGNL评估时,仍然存在某些标签属性可以执行双重评估。不受信任的用户使用该标签输入强制OGNL评估时,可能引发OGNL表达式解析,从而触发远程代码执行漏洞。
影响范围
Apache Struts 2.0.0 - 2.5.29
漏洞等级:高危 CVSS:8.5
处置方法
官方补丁
目前官方已发布针对此漏洞的修复补丁,请受影响用户尽快更新。
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30
参考链接
http://cwiki.apache.org/confluence/display/WW/S2-062
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31805