概述
4月13日,Struts官方发布安全通告,修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。该漏洞为S2-061的修复不完全造成,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析;攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。
影响范围
2.0.0 <= Apache Struts <= 2.5.29
经验证,当前公布的exp确实可以利用。
漏洞环境
https://github.com/vulhub/vulhub/tree/master/struts2/s2-061
漏洞利用exp请自行GitHub
漏洞修复措施
https://struts.apache.org/download.cgi#struts-ga
原文始发于微信公众号(Matrix1024):S2-062漏洞确认
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论