产品动态 > 正文

漏洞预警 | Apache Struts2 远程代码执行漏洞处置公告

2022-04-13

网宿安全实验室监测到,Apache官方发布安全通告,披露其Struts2框架存在远程代码执行漏洞,编号为CVE-2021-31805。该漏洞已被定级为高危,攻击者利用该漏洞可远程执行任意代码,获取服务器权限,且利用难度低。

Apache Struts 2是开发企业级Java Web应用的主流开源MVC框架,应用极广。目前,该漏洞信息已在网络中广泛传播。Apache官方已针对该漏洞发布安全版本Struts 2.5.30,网宿安全产品也已默认开启防护策略,建议相关用户尽快启动应急修复。

@网宿科技:“非常”时期,非常感谢

受影响的版本:Struts 2.0.0 ~ Struts 2.5.29

漏洞编号:CVE-2021-31805(S2-062)

POC状态:未公开

在野利用状态:存在

漏洞威胁程度:高危。由于对CVE-2020-17530(S2-061)的修复不完善,导致一些标签的属性仍然可以执行OGNL表达式,攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。

@网宿科技:“非常”时期,非常感谢

升级至安全版本:

目前官方已发布安全版本2.5.30修复此漏洞,请受影响用户尽快升级。安全版本下载链接:
https://struts.apache.org/download.cgi#struts-ga

接入网宿云WAF进行防护:

网宿云WAF默认策略即可拦截利用该漏洞发起的攻击。网宿持续监测各类0day漏洞情报,第一时间完善防护规则。

其他缓解措施:

若受影响用户暂时无法进行升级操作,可通过以下措施临时缓解:
将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证,不要在值以外的标签属性中使用%{…} 语法引用用户可修改的输入;

开启ONGL表达式注入保护。

官方指南参阅:
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。