<![CDATA[
# Apache Struts2遠程代碼執(zhí)行漏洞S2-062(CVE-2021-31805)
<br>
2022 年 4 月 12 日,Apache 官方公布 S2-062 遠程代碼執(zhí)行漏洞安全公告,漏洞編號為 CVE-2021-31805。
<br>
<br>
## 漏洞描述
<div style="line-height:40px">
該漏洞為S2-061的修復不完全,當開發(fā)人員使用了 %{…} 語法進行強制OGNL解析時,仍有一些特殊的TAG屬性可被二次解析;攻擊者可構造惡意的OGNL表達式觸發(fā)漏洞,從而實現遠程代碼執(zhí)行。<br>
Apache Struts是用于創(chuàng)建Java Web應用程序的開源框架,應用非常廣泛。該漏洞已在Struts 2.5.30版本中修復,建議相關用戶盡快升級版本進行防護。</div>
<br>
## 漏洞評級
高危
<br>
## 漏洞編號
CVE-2021-31805
<br>
## 影響范圍
2.0.0 <= Apache Struts <= 2.5.29
<br>
## 修復建議
<div style="line-height:40px">
1.升級到 Struts 2.5.30 或更高版本。<br>
2.將輸入參數的值重新分配給某些Struts的標簽屬性時,始終對其進行驗證,不要在值以外的標簽屬性中使用%{…} 語法引用用戶可修改的輸入。<br>
3.開啟ONGL表達式注入保護。<br>
</div>
<br>
**參考來源**
https://mp.weixin.qq.com/s/Y4Xx8Lp_-hjHlqL_xVyYTQ
http://blog.nsfocus.net/apache-struts-cve-2021-31805/
]]>
蘇ICP備2021041225號 南京國云電力有限公司
