返回顶部
banner
banner
banner

网络信息安全

风险预警

关于Apache Struts2远程代码执行漏洞(CVE-2021-31805)的风险预警提示

发布时间:2022-04-14 字体大小: [小] [中][大]

关于Apache Struts2远程代码执行漏洞的风险预警提示

【漏洞描述

2022412日,Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞(S2-062),对应CVE编号:CVE-2021-31805。该漏洞是由于CVE-2020-17530 (S2-061) 发布的修复不完整,导致某些标签的属性可以执行OGNL表达式,最终导致远程代码执行。

Apache Struts是用于创建Java Web应用程序的开源框架,应用非常广泛。该漏洞已在Struts 2.5.30版本中修复,建议相关用户尽快升级版本进行防护。

参考链接:

https://cwiki.apache.org/confluence/display/WW/S2-062

严重等级:高危

【影响范围】

受影响的产品版本:

Struts 2.0.0 - Struts 2.5.29

修复建议

目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,目前官方已发布新版本修复了此漏洞,请受影响的用户尽快更新进行防护。

官方建议:

1、升级到 Struts 2.5.30或更高版本。官方已发布新版本修复此漏洞,下载链接:

https://struts.apache.org/download.cgi#struts-ga