近日,棱镜七彩监测到Apache官方发布安全通告,披露了其Struts2框架存在远程代码执行漏洞(S2-062),该漏洞是由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式,最终可导致远程执行任意代码。
Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。
由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式,最终可导致远程执行任意代码。
CVE-2021-31805
高危
Struts 2.0.0 - Struts 2.5.29
Struts >= 2.5.30
厂商已发布补丁修复漏洞,请用户尽快升级到安全版本:Struts 2.5.30或更高版本。
补丁链接如下:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30
https://cwiki.apache.org/confluence/display/WW/S2-062