概述
4月13日,Struts官方发布安全通告,修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。该漏洞为S2-061的修复不完全造成,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析;攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。
影响范围
2.0.0 <= Apache Struts <= 2.5.29
经验证,当前公布的exp确实可以利用。
漏洞环境
https://github.com/vulhub/vulhub/tree/master/struts2/s2-061
漏洞利用exp请自行GitHub
漏洞修复措施
https://struts.apache.org/download.cgi#struts-ga
原文始发于微信公众号(Matrix1024):S2-062漏洞确认
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论