首頁安全服務安全公告
正文

Struts2框架遠程代碼執行漏洞安全預警與建議

發布時間:2022-04-15 14:04   浏覽次數:3084

近日,海峽信息安全威脅情報中(zhōng)心監測到Apache Struts官方發布安全公告,披露了Apache Struts框架漏洞S2-062 (CVE-2021-31805),攻擊者可構造惡意的OGNL表達式觸發漏洞,從而實現遠程代碼執行。目前Struts官方已發布安全版本,海峽信息安全應急中(zhōng)心建議受影響單位和用戶立即升級至安全版本。

一(yī)、漏洞描述

該漏洞由于對s2-061(CVE-2020-17530)的修複不完整,導緻輸入驗證不正确。當開(kāi)發人員(yuán)使用了 %{…} 語法進行強制OGNL解析時,仍有一(yī)些特殊的TAG屬性可被二次解析,導緻攻擊者可構造惡意的OGNL表達式觸發漏洞,從而實現遠程代碼執行。

二、影響範圍及利用條件

影響範圍:2.0.0 <= Apache Struts版本 <= 2.5.29

利用條件:漏洞需要開(kāi)發實際代碼寫法支持,目前判斷被利用的實際風險較低

三、安全防範建議

目前Struts官方已發布安全補丁,海峽信息提醒各相關單位和用戶要強化風險意識,切實加強安全防範:

目前Struts官方已發布安全版本:2.5.30。建議用戶盡快自查,對受影響的版本及時升級至最新版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

四、自查框架版本措施

1、若項目是采用 maven 編譯,可查看pom.xml文件确定struts2使用的版本号是否在影響範圍内,如下(xià)2.5.10版本在受影響版本範圍内:

444.png


2、在應用目錄下(xià)搜索是否使用struts2-core,特别在應用的WEB-INF\lib目錄下(xià)搜索,如果存在struts2-core-{version}.jar,且查看所使用版本号是否在受影響範圍内,如下(xià)2.5.10版本在受影響的版本範圍内:

5555.png

附參考鏈接:https://cwiki.apache.org/confluence/display/WW/S2-062

莆田市巨訊網絡信息技術有限公司 版權所有  聯系: hxzhb@heidun.net © 1999-2023 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部