d88尊龙旗舰厅(中国)有限公司d88尊龙旗舰厅

d88尊龙旗舰厅(/999/Announcement/1231.html) 首页d88尊龙旗舰厅(/999/Announcement/1231.html)安全服务d88尊龙旗舰厅(/999/Announcement/1231.html)安全公告 d88尊龙旗舰厅(/999/Announcement/1231.html)
正文

Struts2框架远程代码执行漏洞安全预警与建议

发布时间:2022-04-15 14:04   浏览次数:2620

近日,d88尊龙旗舰厅 安全威胁情报中心监测到Apache Struts官方发布安全公告,披露了Apache Struts框架漏洞S2-062 (CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。目前Struts官方已发布安全版本,d88尊龙旗舰厅 安全应急中心建议受影响单位和用户立即升级至安全版本。

一、漏洞描述

该漏洞由于对s2-061(CVE-2020-17530)的修复不完整,导致输入验证不正确。当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析,导致攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。

二、影响范围及利用条件

影响范围:2.0.0 <= Apache Struts版本 <= 2.5.29

利用条件:漏洞需要开发实际代码写法支持,目前判断被利用的实际风险较低

三、安全防范建议

目前Struts官方已发布安全补丁,d88尊龙旗舰厅 提醒各相关单位和用户要强化风险意识,切实加强安全防范:

目前Struts官方已发布安全版本:2.5.30。建议用户尽快自查,对受影响的版本及时升级至最新版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

四、自查框架版本措施

1、若项目是采用 maven 编译,可查看pom.xml文件确定struts2使用的版本号是否在影响范围内,如下2.5.10版本在受影响版本范围内:

d88尊龙旗舰厅(/999/Announcement/1231.html)


2、在应用目录下搜索是否使用struts2-core,特别在应用的WEB-INF\lib目录下搜索,如果存在struts2-core-{version}.jar,且查看所使用版本号是否在受影响范围内,如下2.5.10版本在受影响的版本范围内:

d88尊龙旗舰厅(/999/Announcement/1231.html)

附参考链接:https://cwiki.apache.org/confluence/display/WW/S2-062

d88尊龙旗舰厅(/999/Announcement/1231.html)

福建省d88尊龙旗舰厅 技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 ? 1999-2021 Fujian Strait Information Corporation. All Rights Reserved.
d88尊龙旗舰厅(/999/Announcement/1231.html)

返回顶部

友情链接:k8.com凯发  尊龙人生就是博旧版手机  尊龙d88网  尊龙VR彩  澳门威斯人  亚美am8  sb沙巴体育滚球  凯发k8官凯发k8官网app  乐鱼平台入口  凯发k8国际登陆