官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期,Apache软件基金会敦促机构设法解决编号为CVE-2021-31805的漏洞,该漏洞会对Struts2.0.0到2.5.29的版本产生影响,攻击者可以通过此漏洞来控制受影响的系统。
Apache Struts是一个用于开发Java EE Web 应用程序的开源Web应用程序框架,根据Apache发布的公告,该机构解决的问题是存在于Apache Struts中的一个严重漏洞,该漏洞与之前未正确修复的OGNL注入漏洞( CVE-2020-17530 )有关,该编号为CVE-2020-17530的远程代码执行漏洞会评估用户输入的标签属性并强制执行双重求值。
在Apache发布的公告中,用户在标签属性内强制执行OGNL求值后可能会导致远程代码执行——类似于S2-059。如果开发人员在解析%{…}等标签时强制使用OGNL求值,则某些标签属性可能会执行双重求值,从而可能使不受信任的用户输入产生远程代码执行等安全风险。
同时,公告中也指出,针对CVE-2020-17530 ( S2-061 )发布的修复并不完整,如果开发人员通过使用%{...}语法应用强制OGNL求值,则标签的某些属性仍然可以执行双重求值,从而可能使不受信任的用户输入产生远程代码执行等安全风险。对此,CISA发布了针对Struts 2的安全公告,建议用户升级到更高版本。Apache建议用户避免对不受信任的用户输入使用强制 OGNL评估,或者升级到Struts2.5.30或更高版本。
参考来源:https://securityaffairs.co/wordpress/130173/security/critical-apache-struts-rce-flaw.html