vlambda博客
学习文章列表

漏洞描述：

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

此漏洞为CVE-2020-17530 的修复不完整导致。对不受信任的用户输入使用强制执行OGNL表达式 可能会导致远程代码执行。

漏洞编号：

CVE-2021-31805

影响版本：

 2.0.0 ~ 2.5.29

修复：

建议及时更新至安全版本

参考链接：

https://struts.apache.org/download.cgi#struts2530  

https://cwiki.apache.org/confluence/display/WW/S2-062

注：养成良好运维习惯，升级前请做好测试及备份工作。