2022年4月13日,开源网安监测到 Apache 官方发布了 Apache Struts2 的风险通告,漏洞编号为 CVE-2021-31805,可能会导致远程代码执行。
一、漏洞描述
如果开发人员使用 %{...} 语法进行强制 OGNL 解析,仍有一些特殊的 TAG 属性可以执行二次解析。对不受信任的用户输入使用强制 OGNL 解析可能会导致远程代码执行。
二、漏洞原理
三、漏洞基本信息
| 漏洞名称 |
漏洞等级 |
CVE编号 |
影响版本 |
安全版本 |
披露时间 |
| Apache Struts2 远程代码执 | 高危 | CVE-2021-31805 | Struts22.0.0 ~ Struts22.5.29 | Struts2>=2.5.30 | 2022-04-12 |
四、修复方式
通用修复方式:根据影响版本中的信息,排查并升级到安全版本,新版本下载链接:https://struts.apache.org/download.cgi#struts-ga
临时修复方式:避免对不受信任的用户输入使用强制 OGNL 解析。
五、参考链接
https://nvd.nist.gov/vuln/detail/CVE-2021-31805
别慌!开源网安 SourceCheck
帮助客户快速检测新漏洞
精准保障开源组件安全
开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析 SCA 产品,用于第三方组件安全管控,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。
开源网安 SourceCheck 可实现自动化、无感知地对企业级软件资产信息进行收集与管理,使软件资产分布可视化;并提供软件资产跟踪定位和管控、新漏洞的自检和预警,以及对自研组件和程序代码的许可合规性进行检测。
