烽火狼烟丨Apache Struts2 远程代码执行漏洞（CVE-2021-31805）风险提示

2022年4月13日23:16:32评论39 views字数 634阅读2分6秒阅读模式

1、漏洞概述

近日，WebRAY安全服务产品线监测到Apache Struts官方发布Apache Struts2远程代码执行漏洞，漏洞编号为CVE-2021-31805。由于对CVE-2020-17530 ( S2-061 ) 的修复不完善，在某些标签属性中对用户的输入强制执行OGNL表达式时，可造成OGNL表达式二次解析，进一步导致远程代码执行。

Apache Struts2是一个用于开发Java EE网络应用程序的Web框架。在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

WebRAY安全服务产品线也将持续关注该漏洞进展，第一时间为您更新该漏洞信息。

2、影响范围

漏洞编号	影响产品	影响版本	安全版本
CVE-2021-31805	Apache Struts2	Struts 2.0.0 - Struts 2.5.29	2.5.30及更高

3、漏洞等级

WebRAY安全服务产品线风险评级：高危

4、修复建议

1、厂商已发布新版本，请及时更新Struts至2.5.30或更高版本。

下载地址：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

2、如果目前无法升级，在业务环境允许的前提下，使用白名单限制访问web的ip来降低风险。

·END·

烽火狼烟丨Apache Struts2 远程代码执行漏洞（CVE-2021-31805）风险提示

原文始发于微信公众号（盛邦安全WebRAY）：烽火狼烟丨Apache Struts2 远程代码执行漏洞（CVE-2021-31805）风险提示

左青龙
微信扫一扫

右白虎
微信扫一扫

烽火狼烟丨Apache Struts2 远程代码执行漏洞（CVE-2021-31805）风险提示

利用 PUT 方法导致三星远程代码执行 (RCE)

泛微E-Mobile 6.0 client.do 命令执行漏洞

【在野0day】某友CRM系统某接口存在任意文件下载（大量资产存在）

【漏洞复现】短视频矩阵营销系统 ajax_uplaod接口处存在任意文件上传

漏洞速递 | Microsoft微软最新RCE漏洞（附EXP）

通达OA down 未授权员工信息泄露漏洞

漏洞预警 | FFmpeg释放后使用漏洞

漏洞预警 | Telegram Windows客户端可执行文件限制不当漏洞

漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

漏洞预警 | 易宝OA系统SQL注入漏洞

发表评论

在线咨询

微信