【漏洞預警】Apache Struts2遠程代碼執行漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則Apache Struts2遠程代碼執行漏洞的信息，漏洞編號：CVE-2021-31805，漏洞威脅等級：高危。該漏洞是由于由于對CVE-2020-17530的修復不完整，在Apache Struts 2.0.0-2.5.29中，如果開發人員使用 %{...} 語法應用強制 OGNL 解析，標簽的某些屬性仍然可被二次解析。當對標簽屬性中未經驗證的原始用戶輸入進行解析時可能會導致遠程代碼執行。對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。 

2. 漏洞概述

CVE：CVE-2021-31805

簡述：Apache Struts2是一個基于MVC設計模式的流行的Web應用程序框架。 

4月12日，Apache Struts2發布安全公告（S2-062），修復了Apache Struts2中的一個遠程代碼執行漏洞（CVE-2021-31805）。

由于對CVE-2020-17530的修復不完整，在Apache Struts 2.0.0-2.5.29中，如果開發人員使用 %{...} 語法應用強制 OGNL 解析，標簽的某些屬性仍然可被二次解析。當對標簽屬性中未經驗證的原始用戶輸入進行解析時可能會導致遠程代碼執行。

3. 漏洞危害

攻擊者可利用該漏洞引起遠程代碼執行攻擊。

4. 影響版本

目前受影響的 Apache Struts 版本：

Apache Struts 2.0.0-2.5.29

5. 解決方案

目前此漏洞已經修復，建議受影響用戶及時升級更新到Apache Struts 2.5.30或更高版本。

下載鏈接：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

緩解措施：

避免對不受信任或未經驗證的用戶輸入使用強制 OGNL 解析。

6. 時間軸

【-】2022年04月12日 安識科技A-Team團隊監測到漏洞公布信息

【-】2022年04月13日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年04月14日 安識科技A-Team團隊發布安全通告