Apache Struts2 远程代码执行漏洞CVE-2021-31805

近日,我团队监测到Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞(S2-062),该漏洞是由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式,最终可导致远程执行任意代码。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

 

影响版本:

  • Struts 2.0.0 - Struts 2.5.29

 

安全版本:

  • Struts >= 2.5.30

 

修复建议:

官方已发布安全版本,请及时下载更新,下载更新参考地址:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

发表评论

评论已关闭。

相关文章