Apache Struts2 远程代码执行漏洞风险通告（CVE-2021-31805）

发布时间：2022-04-14文章来源：网络与信息中心作者：发布人：wlaq 浏览次数：1584

Apache官方发布安全通告，披露了其Struts2框架存在远程代码执行漏洞，漏洞编号CVE-2021-31805。可导致远程代码执行等危害。

漏洞详情

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

据官方描述，由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式，最终可导致远程执行任意代码。

风险等级

高风险

漏洞风险

攻击者利用该漏洞远程执行任意代码

影响版本

Struts 2.0.0 - Struts 2.5.29

安全版本

Struts >= 2.5.30

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://cwiki.apache.org/confluence/display/WW/S2-062

引用自：https://cloud.tencent.com/announce/detail/1855