漏洞详情
近日,Apache Struts 官方发布安全通告,修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。
该漏洞是由于对 S2-061(CVE-2020-17530)的修复不完全,导致一些标签属性仍然可以执行 OGNL 表达式;当开发人员使用了 %{…} 语法进行强制 OGNL 解析时,仍有一些特殊的 TAG 属性可被二次解析,攻击者可构造恶意的 OGNL 表达式触发漏洞,从而实现远程代码执行。
影响范围
2.0.0 <= Apache Struts <= 2.5.29
修复建议
目前官方已发布新版本修复了此漏洞,请及时更新 Struts 至 2.5.30 或更高版本。下载链接:
https://struts.apache.org/download.cgi#struts-ga
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-062
原文始发于微信公众号(梦之想科技):关于 Apache Struts2 远程代码执行漏洞(CVE-2021-31805)的安全告知
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论