漏洞预警:关于Apache Struts2远程代码执行漏洞(CVE-2021-31805)通告
0x01、漏洞概述
2022 年 4 月 12 日,Struts官方发布安全通告,修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。该漏洞是由于S2-061的修复不完全造成的,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析;攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。
0x02、影响范围
受影响版本
2.0.0 <= Apache Struts 2 <= 2.5.29
不受影响版本
Apache Struts >= 2.5.30
0x03、漏洞详情
用户认证:无需用户认证
触发方式:远程
配置方式:开发人员使用 %{...}语法应用强制 OGNL 解析
利用难度:低
威胁等级:一般
漏洞POC已被利用
0x04、安全建议
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快更新进行防护,下载链接:https://struts.apache.org/download.cgi#struts-ga
避免使用 %{...}语法应用强制 OGNL 解析,并配置防火墙对应规则。