漏洞风险提示:(CVE-2021-31805)Apache Struts2远程代码执行漏洞
漏洞描述:
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。
此漏洞为CVE-2020-17530 的修复不完整导致。对不受信任的用户输入使用强制执行OGNL表达式 可能会导致远程代码执行。
漏洞编号:
CVE-2021-31805
影响版本:
2.0.0 ~ 2.5.29
修复:
建议及时更新至安全版本
参考链接:
https://struts.apache.org/download.cgi#struts2530
https://cwiki.apache.org/confluence/display/WW/S2-062
注:养成良好运维习惯,升级前请做好测试及备份工作。