Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞,漏洞编号CVE-2021-31805。可导致远程代码执行等危害。
漏洞详情
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
据官方描述,由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式,最终可导致远程执行任意代码。
风险等级
高风险
漏洞风险
攻击者利用该漏洞远程执行任意代码
影响版本
Struts 2.0.0 - Struts 2.5.29
安全版本
Struts >= 2.5.30
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://cwiki.apache.org/confluence/display/WW/S2-062
引用自:https://cloud.tencent.com/announce/detail/1855