Apache Struts2远程代码执行漏洞安全通告

近日，沈阳网络安全协会信息通报机制合作单位新华三集团（H3C）提醒，Apache Struts官方发布了一则S2-062远程代码执行漏洞的安全公告,漏洞编号为: CVE-2021-31805，成功利用此漏洞可对受害主机进行远程代码执行。

1漏洞综述

1.1 漏洞背景

Apache Struts2是美国Apache软件基金维护的一个开源项目，实现了基于MVC设计模式的应用框架，可用于高效创建企业级Java WEB应用程序。

1.2 漏洞原理

该漏洞是由于CVE-2020-17530（S2-061）漏洞修复不完整导致的遗留问题；当开发者应用%{…}语法进行强制OGNL评估时，仍然存在某些标签属性可以执行双重评估。不受信任的用户使用该标签输入强制OGNL评估时，可能引发OGNL表达式解析，从而触发远程代码执行漏洞。

2影响范围

Apache Struts 2.0.0 - 2.5.29

3处置方法

3.1 官方补丁

目前官方已发布针对此漏洞的修复补丁，请受影响用户尽快更新。

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

原文始发于微信公众号（沈阳网络安全协会）：Apache Struts2远程代码执行漏洞安全通告