01
漏洞信息
漏洞号: CVE-2021-31805
漏洞等级:高危
漏洞状态:
POC状态 | EXP状态 | 技术细节 | 在野利用 |
---|---|---|---|
已公开 | 已公开 | 已公开 | 未发现 |
受影响版本:Struts 2.0.0 - Struts 2.5.29
安全版本:Struts 2.5.30
补丁地址:
https://struts.apache.org/download.cgi#struts2530
02
漏洞描述
近日,Apache官方发布了Apache Struts 2的风险通告,漏洞编号为CVE-2021-31805。该漏洞是由于Apache对之前漏洞 CVE-2020-17530的修复不完整造成的,是之前修复的绕过。这导致一些标签属性仍然可以执行 OGNL 表达式,攻击者利用该漏洞可以构造恶意数据,远程执行任意代码。
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
目前漏洞细节和利用代码已公开,攻击者可利用该漏洞实现远程代码执行,官方已发布新版本修复了此漏洞,请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。
03
解决方案
升级版本:
官方已发布新版本修复此漏洞,下载链接:
https://struts.apache.org/download.cgi#struts-ga
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-062