Apache Struts2 远程代码执行漏洞风险通告(CVE-2021-31805)
发布时间:
2022-04-14
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2022-04-14文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:1182


Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞,漏洞编号CVE-2021-31805。可导致远程代码执行等危害。


漏洞详情

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。


据官方描述,由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式,最终可导致远程执行任意代码。


风险等级

高风险


漏洞风险

攻击者利用该漏洞远程执行任意代码


影响版本

Struts 2.0.0 - Struts 2.5.29


安全版本

Struts >= 2.5.30


修复建议

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本


【备注】:建议您在升级前做好数据备份工作,避免出现意外


漏洞参考

https://cwiki.apache.org/confluence/display/WW/S2-062


引用自:https://cloud.tencent.com/announce/detail/1855

Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000