以下文章来源于CNNVD,作者CNNVD
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2安全漏洞(CNNVD-202204-3223、CVE-2021-31805)情况的报送。成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。目前,Apache官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
Apache Struts2是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,Struts2作为控制器来建立模型与视图的数据交互。
该漏洞是由于Apache对Apache Struts2代码注入漏洞(CNNVD-202012-449、CVE-2020-17530)修复不完整导致,攻击者可绕过漏洞补丁,通过构造恶意数据对目标服务器执行命令。
二、危害影响
成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。
三、修复建议
目前,Apache官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30