【漏洞预警】Apache Struts2远程代码执行漏洞

1. 通告信息

近日，安识科技A-Team团队监测到一则Apache Struts2远程代码执行漏洞的信息，漏洞编号：CVE-2021-31805，漏洞威胁等级：高危。该漏洞是由于由于对CVE-2020-17530的修复不完整，在Apache Struts 2.0.0-2.5.29中，如果开发人员使用 %{...} 语法应用强制 OGNL 解析，标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。 

2. 漏洞概述

CVE：CVE-2021-31805

简述：Apache Struts2是一个基于MVC设计模式的流行的Web应用程序框架。 

4月12日，Apache Struts2发布安全公告（S2-062），修复了Apache Struts2中的一个远程代码执行漏洞（CVE-2021-31805）。

由于对CVE-2020-17530的修复不完整，在Apache Struts 2.0.0-2.5.29中，如果开发人员使用 %{...} 语法应用强制 OGNL 解析，标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。

3. 漏洞危害

攻击者可利用该漏洞引起远程代码执行攻击。

4. 影响版本

目前受影响的 Apache Struts 版本：

Apache Struts 2.0.0-2.5.29

5. 解决方案

目前此漏洞已经修复，建议受影响用户及时升级更新到Apache Struts 2.5.30或更高版本。

下载链接：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

缓解措施：

避免对不受信任或未经验证的用户输入使用强制 OGNL 解析。

6. 时间轴

【-】2022年04月12日 安识科技A-Team团队监测到漏洞公布信息

【-】2022年04月13日 安识科技A-Team团队根据漏洞信息分析

【-】2022年04月14日 安识科技A-Team团队发布安全通告