观天漏洞描述:
2022年04月13日,360CERT监测发现Apache官方发布了Apache Struts2的风险通告,漏洞编号为CVE-2021-31805(S2-062),漏洞等级:高危。
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
奇安信CERT安全研究团队,正在复现此漏洞,最新情报另行通知。
漏洞详情:
CVE: CVE-2021-31805
组件: Struts2
漏洞类型: 代码执行
漏洞状态:未公开
简述: 由于对CVE-220-17530(S2-061)的修复不完整,导致输入验证不正确。如果开发人员使用 %{…} 语法应用强制 OGNL 评估,标签的一些属性仍然可以执行双重评估。对不受信任的用户输入使用强制 OGNL 评估可能会导致远程代码执行。
影响版本:
2.0.0 ~ 2.5.29
安全版本:官方版本:https://struts.apache.org/download.cgi#struts-ga
>= 2.5.30
临时修复建议:
将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证,不要在值以外的标签属性中使用%{…} 语法引用用户可修改的输入。
开启ONGL表达式注入保护
建议您在升级前做好数据备份工作,避免出现意外。
