风险提示:Apache Struts 2远程代码执行漏洞(CVE-2021-31805)

漏洞信息

漏洞号： CVE-2021-31805

漏洞等级：高危

漏洞状态：POC状态 已公开

EXP状态 已公开

技术细节 已公开

在野利用 未发现

受影响版本：Struts 2.0.0 - Struts 2.5.29

安全版本：Struts 2.5.30

补丁地址：https://struts.apache.org/download.cgi#struts2530

漏洞描述

近日，Apache官方发布了Apache Struts 2的风险通告，漏洞编号为CVE-2021-31805。该漏洞是由于Apache对之前漏洞 CVE-2020-17530的修复不完整造成的，是之前修复的绕过。这导致一些标签属性仍然可以执行 OGNL 表达式，攻击者利用该漏洞可以构造恶意数据，远程执行任意代码。

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

目前漏洞细节和利用代码已公开，攻击者可利用该漏洞实现远程代码执行，官方已发布新版本修复了此漏洞，请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。

解决方案

升级版本：

官方已发布新版本修复此漏洞，下载链接：

https://struts.apache.org/download.cgi#struts-ga

参考链接: https://cwiki.apache.org/confluence/display/WW/S2-062