行业资讯
紧急安全通告: Apache Struts2 远程代码执行漏洞 (CVE-2021-31805)
时间:2022-10-19
来源:上海银基安全服务中心
漏洞描述
2022年4月13日,Apache官方发布了Apache Struts2的风险通告,漏洞编号为CVE-2021-31805,漏洞等级:高危,漏洞评分:8.5。由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,当对标签属性中未经验证的原始用户输入进行二次解析时,可能会导致远程代码执行,攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行。
危害级别
严重
| 漏洞细节 | 漏洞POC | 攻击复杂度 | 漏洞EXP | 在野利用 |
|---|---|---|---|---|
| 是 | 公开 | 低 | 公开 | 未知 |
影响范围
Apache Struts2 2.0.0 ~ 2.5.29
漏洞排查方法
可通过排查struts-core-版本号.jar来判断是否受此漏洞影响,如果没有版本号可以在jar文件的META-INF/MANIFEST.MF中搜索Bundle-Version,如果struts-core < 2.5.30则存在该漏洞。
漏洞修复建议
受影响的客户尽快升级Apache Struts2到最新版本。
新版下载链接:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30Spring 5.2.x用户升级到5.2.20+
参考文章
https://cwiki.apache.org/confluence/display/WW/S2-062
https://mc0wn.blogspot.com/2021/04/exploiting-struts-rce-on-2526.html
INGEEK Security Announcement
