CVE-2021-31805-Apache Struts2远程代码执行漏洞预警

0x01 漏洞介绍

Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞。漏洞编号CVE-2021-31805。

官方描述,由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,最终可导致远程执行任意代码。

0x02 影响范围

《CVE-2021-31805-Apache Struts2远程代码执行漏洞预警》

0x03 处置措施

避免对不受信任的用户输入使用强制 OGNL 评估,和/或升级到 Struts 2.5.30或更高版本,以检查表达式评估是否不会导致双重评估。

参考连接:https://cwiki.apache.org/confluence/display/WW/S2-062

点赞