安全狗漏洞通告|Apache Struts2远程代码执行漏洞解决方案

近日,安全狗应急响应中心监测到Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞。漏洞编号CVE-2021-31805。

安全狗漏洞通告|Apache Struts2远程代码执行漏洞解决方案_第1张图片

 

漏洞描述

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

官方描述,由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,最终可导致远程执行任意代码。

安全通告信息

漏洞名称

Apache Struts2远程代码执行漏洞

漏洞影响版本

Struts>=2.0.0,<2.5.29

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://cwiki.apache.org/confluence/display/WW/S2-062

安全狗总预警期数

217

安全狗发布预警日期

2022年4月13日

安全狗更新预警日期

2022年4月13日

发布者

安全狗海青实验室

处置措施

官方安全建议

目前这些漏洞已经修复,用户可及时更新至安全版本。

【备注】:建议您在升级前做好数据备份工作,避免出现意外

参考连接

https://cwiki.apache.org/confluence/display/WW/S2-062

你可能感兴趣的