芒竹云公告 > 公告详情

【安全通告】Apache Struts2 远程代码执行漏洞风险通告(CVE-2021-31805)

发布时间:2022-04-16 21:36:42

尊敬的芒竹云用户,您好!

芒竹云安全运营中心监测到, Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞,漏洞编号CVE-2021-31805。可导致远程代码执行等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
据官方描述,由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式,最终可导致远程执行任意代码。
风险等级
高风险
漏洞风险
攻击者利用该漏洞远程执行任意代码
影响版本
Struts 2.0.0 - Struts 2.5.29
安全版本
Struts >= 2.5.30
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://cwiki.apache.org/confluence/display/WW/S2-062


/template/Home/qcloud/PC/Static