【漏洞通告】CVE-2021-31805 - Apache Struts2 远程代码执行漏洞安全风险通告
2022年4月13日,嘉诚安全监测到Apache官方发布了Apache Struts2 远程代码执行漏洞的安全风险通告,漏洞编号为:CVE-2021-31805。
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新到安全版本,避免引发漏洞相关的网络安全事件。
Apache Struts 2框架存在远程代码执行漏洞(S2-062),该漏洞是由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行OGNL 表达式,最终可导致远程执行任意代码。
通用修复建议:
根据影响版本中的信息,建议用户排查并升级到Struts 2.5.30或更高版本,补丁下载链接请参考:
https://cwiki.apache.org/confluence/displa/WW/Version+Notes+2.5.30
临时修补建议:
黑名单限制web端口的访问