Apache Struts2遠程代碼執行漏洞 (CVE-2021-31805) 安全通告

近日，奇安信CERT監測到Apache官方發布安全更新，其中修復了Apache Struts2遠程代碼執行漏洞(CVE-2021-31805)，在某些標簽中若后端通過 %{...} 形式對其屬性進行賦值，則將對OGNL表達式進行二次解析，從而執行惡意代碼，且該漏洞是S2-061的繞過。此漏洞POC、技術細節已公開，經過奇安信CERT研判，此漏洞POC有效。鑒于此漏洞影響范圍極大，建議客戶盡快做好自查，及時更新至最新版本或采取緩解措施。