关于Apache Struts2安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts2安全漏洞（CNNVD-202204-3223、CVE-2021-31805）情况的报送。成功利用此漏洞的攻击者，可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。目前，Apache官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

Apache Struts2是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，Struts2作为控制器来建立模型与视图的数据交互。

该漏洞是由于Apache对ApacheStruts2代码注入漏洞(CNNVD-202012-449、CVE-2020-17530)修复不完整导致，攻击者可绕过漏洞补丁，通过构造恶意数据对目标服务器执行命令。

二、危害影响

成功利用此漏洞的攻击者，可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。

三、修复建议

	目前，Apache官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：
	https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

本通报由CNNVD技术支撑单位——深信服科技股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、奇安信网神信息技术（北京）股份有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司、北京华云安信息技术有限公司、南京铱迅信息技术股份有限公司、北京知道创宇信息技术股份有限公司、北京天融信网络安全技术有限公司、北京奇虎科技有限公司、亚信科技（成都）有限公司、北京永信至诚科技股份有限公司、浪潮电子信息产业股份有限公司、长春嘉诚信息技术股份有限公司、杭州迪普科技股份有限公司、内蒙古奥创科技有限公司、上海斗象信息科技有限公司、安徽华云安科技有限公司、烽台科技（北京）有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn