【漏洞描述】

2022年4月12日，Apache官方發(fā)布安全通告，披露了其Struts2框架存在遠(yuǎn)程代碼執(zhí)行漏洞（S2-062），對(duì)應(yīng)CVE編號(hào)：CVE-2021-31805。該漏洞是由于CVE-2020-17530 (S2-061) 發(fā)布的修復(fù)不完整，導(dǎo)致某些標(biāo)簽的屬性可以執(zhí)行OGNL表達(dá)式，最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

Apache Struts是用于創(chuàng)建Java Web應(yīng)用程序的開(kāi)源框架，應(yīng)用非常廣泛。該漏洞已在Struts 2.5.30版本中修復(fù)，建議相關(guān)用戶(hù)盡快升級(jí)版本進(jìn)行防護(hù)。

參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-062

嚴(yán)重等級(jí)：高危

【影響范圍】

受影響的產(chǎn)品版本:

Struts 2.0.0 - Struts 2.5.29

【修復(fù)建議】

目前漏洞細(xì)節(jié)和利用代碼暫未公開(kāi)，但可以通過(guò)補(bǔ)丁對(duì)比方式定位漏洞觸發(fā)點(diǎn)并開(kāi)發(fā)漏洞利用代碼，目前官方已發(fā)布新版本修復(fù)了此漏洞，請(qǐng)受影響的用戶(hù)盡快更新進(jìn)行防護(hù)。

官方建議：

升級(jí)到 Struts 2.5.30或更高版本。官方已發(fā)布新版本修復(fù)此漏洞。