漏洞预警
Apache Struts远程代码执行漏洞(CVE-2021-31805)
作者:王文盛 审核人:侯小军 时间:2022年04月15日 17:13

接教育厅通知,Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意请求触发漏洞,在目标服务器上实现远程代码执行。

鉴于Struts2开源框架应用广泛,此提醒广大校园网用户在确保安全的前提下尽快升级至安全版本,做好资产自检和预防工作,提高系统安全防护能力,严防网络攻击事件。

一、漏洞情况分析

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。官方描述,由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,最终可导致远程执行任意代码。

二、漏洞影响范围

2.0.0<=Apache Struts<=2.5.29

三、解决方案

目前官方已发布新版本修复了此漏洞,请受影响的用户尽快升级至安全版本。

参考链接:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

推荐阅读
查看更多
    读取内容中,请等待...