风险提示:Apache Struts 2远程代码执行漏洞(CVE-2021-31805)

admin 2022年4月23日02:53:37安全漏洞评论8 views725字阅读2分25秒阅读模式
风险提示:Apache Struts 2远程代码执行漏洞(CVE-2021-31805)
点击上方蓝字
给个关注吧



01
漏洞信息

漏洞号: CVE-2021-31805

漏洞等级:高危

漏洞状态:

POC状态

EXP状态

技术细节

在野利用

已公开

已公开

已公开

未发现


受影响版本:Struts 2.0.0 - Struts 2.5.29

安全版本:Struts 2.5.30

补丁地址:

https://struts.apache.org/download.cgi#struts2530

02
漏洞描述

近日,Apache官方发布了Apache Struts 2的风险通告,漏洞编号为CVE-2021-31805。该漏洞是由于Apache对之前漏洞 CVE-2020-17530的修复不完整造成的,是之前修复的绕过。这导致一些标签属性仍然可以执行 OGNL 表达式,攻击者利用该漏洞可以构造恶意数据,远程执行任意代码。


Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。


目前漏洞细节和利用代码已公开,攻击者可利用该漏洞实现远程代码执行,官方已发布新版本修复了此漏洞,请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。


03
解决方案

升级版本:

官方已发布新版本修复此漏洞,下载链接:

https://struts.apache.org/download.cgi#struts-ga


参考链接: 

https://cwiki.apache.org/confluence/display/WW/S2-062



风险提示:Apache Struts 2远程代码执行漏洞(CVE-2021-31805)
FINANCE

扫码关注
了解更多安全干货、资讯以及火绒安全大事记



原文始发于微信公众号(火绒安全实验室):风险提示:Apache Struts 2远程代码执行漏洞(CVE-2021-31805)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:53:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  风险提示:Apache Struts 2远程代码执行漏洞(CVE-2021-31805) http://cn-sec.com/archives/916444.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: