S2-062 Apache Struts2遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-31805）

2022-04-13

一、概要

近日，華為云關(guān)注到Apache官方發(fā)布安全公告，披露在 Apache Struts2特定版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-31805）。由于對(duì)CVE-2020-17530 (S2-061)的修復(fù)不完全，導(dǎo)致對(duì)不受信任的用戶輸入使用強(qiáng)制OGNL表達(dá)式，最終可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

Apache Struts2一個(gè)基于MVC模式的輕量級(jí)Web應(yīng)用程序框架。華為云提醒使用Apache Struts2的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-062

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Struts 2.0.0 - Struts 2.5.29

安全版本：

Struts >= 2.5.30

四、漏洞處置

目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請受影響的用戶升級(jí)到安全版本：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。