Apache Struts2系列 | S2-062远程代码执行漏洞

luozhenni

Apache Struts2系列 | S2-062远程代码执行漏洞

Jean Sq1Map 2022-04-15 20:14


受影响版本
Struts 2.0.0 - Struts 2.5.29

(一)概括
a.强制 OGNL 评估，当对标签属性中未经验证的原始用户输入进行评估时，可能会导致远程代码执行 - 与S2-061相同。
b.谁应该读这个:所有 Struts 2 开发人员和用户
c.脆弱性的影响:可能的远程代码执行漏洞
d.最高安全等级:重要的
e.推荐:升级到Struts 2.5.30或更高版本
f.受影响的软件:Struts 2.0.0 - Struts 2.5.29

(二)CVE编号
CVE-2021-31805

(三)问题描述
针对 CVE-2020-17530 ( S2-061 ) 发布的修复不完整。%{...} 如果开发人员通过使用语法应用强制 OGNL 评估，则标签的某些属性仍然可以执行双重评估。对不受信任的用户输入使用强制 OGNL 评估可能会导致远程代码执行和安全性下降。

(四)解决方案
避免对不受信任的用户输入使用强制 OGNL 评估，和/或升级到 Struts 2.5.30或更高版本，以检查表达式评估是否不会导致双重评估。
请勿基于不受信任/未经验证的用户输入在标签属性中使用强制 OGNL 评估，请遵循安全指南中的建议。

(五)参考链接
https://cwiki.apache.org/confluence/display/WW/S2-062
https://nvd.nist.gov/vuln/detail/CVE-2021-31805
http://blog.nsfocus.net/apache-struts-cve-2021-31805/
https://cert.360.cn/warning/deta ... 22f4d6fe5aa42e85810