您所在的位置: 首頁 >
安全研究 >
安全通告 >
關于Apache Struts2安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關于Apache Struts2安全漏洞(CNNVD-202204-3223、CVE-2021-31805)情況的報送。成功利用此漏洞的攻擊者,可在目標服務器遠程執行惡意代碼,進而控制目標服務器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。目前,Apache官方已發布新版本修復了漏洞,請用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、漏洞介紹
Apache Struts2是美國阿帕奇(Apache)基金會的一個開源項目,是一套用于創建企業級Java Web應用的開源MVC框架,Struts2作為控制器來建立模型與視圖的數據交互。
該漏洞是由于Apache對ApacheStruts2代碼注入漏洞(CNNVD-202012-449、CVE-2020-17530)修復不完整導致,攻擊者可繞過漏洞補丁,通過構造惡意數據對目標服務器執行命令。
二、危害影響
成功利用此漏洞的攻擊者,可在目標服務器遠程執行惡意代碼,進而控制目標服務器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。
三、修復建議
目前,Apache官方已發布新版本修復了漏洞,請用戶及時確認是否受到漏洞影響,盡快采取修補措施。官方鏈接如下:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30
本通報由CNNVD技術支撐單位——深信服科技股份有限公司、華為技術有限公司、杭州安恒信息技術股份有限公司、奇安信網神信息技術(北京)股份有限公司、新華三技術有限公司、北京啟明星辰信息安全技術有限公司、北京華云安信息技術有限公司、南京銥迅信息技術股份有限公司、北京知道創宇信息技術股份有限公司、北京天融信網絡安全技術有限公司、北京奇虎科技有限公司、亞信科技(成都)有限公司、北京永信至誠科技股份有限公司、浪潮電子信息產業股份有限公司、長春嘉誠信息技術股份有限公司、杭州迪普科技股份有限公司、內蒙古奧創科技有限公司、上海斗象信息科技有限公司、安徽華云安科技有限公司、烽臺科技(北京)有限公司提供支持。
CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn
來源:CNVD安全動態