Apache Struts2远程代码执行漏洞安全通告

admin
admin
admin
138876
文章
114
评论
2022年4月15日01:06:09评论101 views字数 531阅读1分46秒阅读模式

Apache Struts2远程代码执行漏洞安全通告

近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,Apache Struts官方发布了一则S2-062远程代码执行漏洞的安全公告,漏洞编号为: CVE-2021-31805,成功利用此漏洞可对受害主机进行远程代码执行。

1漏洞综述

1.1 漏洞背景

Apache Struts2是美国Apache软件基金维护的一个开源项目,实现了基于MVC设计模式的应用框架,可用于高效创建企业级Java WEB应用程序。

1.2 漏洞原理

该漏洞是由于CVE-2020-17530(S2-061)漏洞修复不完整导致的遗留问题;当开发者应用%{…}语法进行强制OGNL评估时,仍然存在某些标签属性可以执行双重评估。不受信任的用户使用该标签输入强制OGNL评估时,可能引发OGNL表达式解析,从而触发远程代码执行漏洞。

2影响范围

Apache Struts 2.0.0 - 2.5.29

3处置方法

3.1 官方补丁

目前官方已发布针对此漏洞的修复补丁,请受影响用户尽快更新。
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

Apache Struts2远程代码执行漏洞安全通告

原文始发于微信公众号(沈阳网络安全协会):Apache Struts2远程代码执行漏洞安全通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月15日01:06:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Struts2远程代码执行漏洞安全通告https://cn-sec.com/archives/911097.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息