中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于 Apache Struts2 远程代码执行漏洞(CVE-2021-31805)的安全告知

时间:2022-04-14 11:09:01来源:信息安全服务部作者:开yun体育官网入口

Apache Struts2是一个用于开发Java EE网络应用程序的Web框架。在MVC设计模式中,Struts2作为控制器来建立模型与视图的数据交互。

漏洞详情

近日,Apache Struts 官方发布安全通告,修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。

该漏洞是由于对 S2-061(CVE-2020-17530)的修复不完全,导致一些标签属性仍然可以执行 OGNL 表达式;当开发人员使用了 %{…} 语法进行强制 OGNL 解析时,仍有一些特殊的 TAG 属性可被二次解析,攻击者可构造恶意的 OGNL 表达式触发漏洞,从而实现远程代码执行。

影响范围

2.0.0 <= Apache Struts <= 2.5.29

修复建议

目前官方已发布新版本修复了此漏洞,请及时更新Struts至2.5.30或更高版本。

下载链接:https://struts.apache.org/download.cgi#struts-ga

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-062

XML 地图