行业资讯
紧急安全通告: Apache Struts2 远程代码执行漏洞 (CVE-2021-31805)
时间:2022-10-19
来源:上海银基安全服务中心

漏洞描述
2022年4月13日,Apache官方发布了Apache Struts2的风险通告,漏洞编号为CVE-2021-31805,漏洞等级:高危,漏洞评分:8.5。由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,当对标签属性中未经验证的原始用户输入进行二次解析时,可能会导致远程代码执行,攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行。

危害级别

严重

漏洞细节漏洞POC攻击复杂度漏洞EXP在野利用
公开公开未知

影响范围

Apache Struts2 2.0.0 ~ 2.5.29


漏洞排查方法
可通过排查struts-core-版本号.jar来判断是否受此漏洞影响,如果没有版本号可以在jar文件的META-INF/MANIFEST.MF中搜索Bundle-Version,如果struts-core < 2.5.30则存在该漏洞。
漏洞修复建议
受影响的客户尽快升级Apache Struts2到最新版本。
新版下载链接:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30Spring 5.2.x用户升级到5.2.20+

参考文章
https://cwiki.apache.org/confluence/display/WW/S2-062
https://mc0wn.blogspot.com/2021/04/exploiting-struts-rce-on-2526.html
INGEEK Security Announcement


开启下一代用车方式

  • 微信公众号
  • 抖音
  • 快手
Copyright@2022 Ingeek 版权所有
沪ICP备16034835号-1
沪公安网备 31011502018512