Struts2框架远程代码执行误差清静预警与建议

宣布时间：2022-04-15 14:04 浏览次数：5226

克日，pa视讯官网信息清静威胁情报中心监测到Apache Struts官方宣布清静通告，披露了Apache Struts框架误差S2-062 (CVE-2021-31805)，攻击者可结构恶意的OGNL表达式触发误差，从而实现远程代码执行。现在Struts官方已宣布清静版本，pa视讯官网信息清静应急中心建议受影响单位和用户连忙升级至清静版本。

一、误差形貌

该误差由于对s2-061（CVE-2020-17530）的修复不完整，导致输入验证不准确。当开发职员使用了 %{…} 语法举行强制OGNL剖析时，仍有一些特殊的TAG属性可被二次剖析，导致攻击者可结构恶意的OGNL表达式触发误差，从而实现远程代码执行。

二、影响规模及使用条件

影响规模：2.0.0 <= Apache Struts版本 <= 2.5.29

使用条件：误差需要开发明实代码写法支持，现在判断被使用的现实危害较低

三、清静提防建议

现在Struts官方已宣布清静补丁，pa视讯官网信息提醒各相关单位和用户要强化危害意识，切实增强清静提防：

现在Struts官方已宣布清静版本：2.5.30。建议用户尽快自查，对受影响的版本实时升级至最新版本：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

四、自查框架版本步伐

1、若项目是接纳 maven 编译，可审查pom.xml文件确定struts2使用的版本号是否在影响规模内，如下2.5.10版本在受影响版本规模内：

2、在应用目录下搜索是否使用struts2-core，特殊在应用的WEB-INF\lib目录下搜索，若是保存struts2-core-{version}.jar，且审查所使用版本号是否在受影响规模内，如下2.5.10版本在受影响的版本规模内：

附参考链接：https://cwiki.apache.org/confluence/display/WW/S2-062

友情链接

中国广电
福建广电网络集团
福建省科技厅
福建省科学手艺信息研究所

清静产品

清静服务

扫码关注官方公众号