Apache Struts2远程代码执行漏洞安全通告 admin 101398文章 87评论 2022年4月15日01:06:09评论88 views字数 531阅读1分46秒阅读模式 近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,Apache Struts官方发布了一则S2-062远程代码执行漏洞的安全公告,漏洞编号为: CVE-2021-31805,成功利用此漏洞可对受害主机进行远程代码执行。 1漏洞综述 1.1 漏洞背景 Apache Struts2是美国Apache软件基金维护的一个开源项目,实现了基于MVC设计模式的应用框架,可用于高效创建企业级Java WEB应用程序。 1.2 漏洞原理 该漏洞是由于CVE-2020-17530(S2-061)漏洞修复不完整导致的遗留问题;当开发者应用%{…}语法进行强制OGNL评估时,仍然存在某些标签属性可以执行双重评估。不受信任的用户使用该标签输入强制OGNL评估时,可能引发OGNL表达式解析,从而触发远程代码执行漏洞。 2影响范围 Apache Struts 2.0.0 - 2.5.29 3处置方法 3.1 官方补丁 目前官方已发布针对此漏洞的修复补丁,请受影响用户尽快更新。 https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30 原文始发于微信公众号(沈阳网络安全协会):Apache Struts2远程代码执行漏洞安全通告 点赞 http://cn-sec.com/archives/911097.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论