【漏洞预警】Apache Struts2远程代码执行漏洞

admin 2022年4月15日01:05:58安全漏洞评论30 views941字阅读3分8秒阅读模式


1. 通告信息




近日,安识科技A-Team团队监测到一则Apache Struts2远程代码执行漏洞的信息,漏洞编号:CVE-2021-31805,漏洞威胁等级:高危。该漏洞是由于由于对CVE-2020-17530的修复不完整,在Apache Struts 2.0.0-2.5.29中,如果开发人员使用 %{...} 语法应用强制 OGNL 解析,标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。

 

2. 漏洞概述




CVECVE-2021-31805

简述:Apache Struts2是一个基于MVC设计模式的流行的Web应用程序框架。 

4月12日,Apache Struts2发布安全公告(S2-062),修复了Apache Struts2中的一个远程代码执行漏洞(CVE-2021-31805)。

由于对CVE-2020-17530的修复不完整,在Apache Struts 2.0.0-2.5.29中,如果开发人员使用 %{...} 语法应用强制 OGNL 解析,标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。


3. 漏洞危害




攻击者可利用该漏洞引起远程代码执行攻击

 

4. 影响版本




目前受影响的 Apache Struts 版本:

Apache Struts 2.0.0-2.5.29

 

5. 解决方案




目前此漏洞已经修复,建议受影响用户及时升级更新到Apache Struts 2.5.30或更高版本。

下载链接:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

缓解措施:

避免对不受信任或未经验证的用户输入使用强制 OGNL 解析。

 

6. 时间轴




-20220412 安识科技A-Team团队监测到漏洞公布信息

-20220413 安识科技A-Team团队根据漏洞信息分析

-20220414 安识科技A-Team团队发布安全通告


原文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】Apache Struts2远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月15日01:05:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Apache Struts2远程代码执行漏洞 http://cn-sec.com/archives/911115.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: