武汉安域信息安全技术有限公司通过对互联网安全漏洞信息的跟踪，通过互联网监测到Apache Struts2被曝出远程代码执行漏洞（CVE-2021-31805）。攻击者利用该漏洞，可远程执行任意代码，获取目标服务器权限。目前，漏洞利用原理已公开，官方补丁已发布。该漏洞的综合评级为“高危”，建议用户尽快进行评估修复。


一、 漏洞描述

     Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。
       2022年4月12日，Apache发布安全公告，修复了一个Apache Struts2 中的远程代码执行漏洞。漏洞编号：CVE-2021-31805，漏洞威胁等级：高危。该漏洞是由于对 CVE-2020-17530 (S2-061) 的修复不完善。导致一些标签的属性仍然可以执行 OGNL 表达式，最终可导致远程执行任意代码。


二、 漏洞来源

       https://cwiki.apache.org/ 


三、 受影响版本

      Apache Struts2 2.0.0 - 2.5.29


四、 修复建议

       厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：Struts 2.5.30或更高版本。补丁链接如下：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30  与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。
      

       若需要进一步获得有关安全咨询，欢迎垂询武汉安域信息安全技术有限公司安全服务专家。

       本信息通告的内容系摘抄或引用自其他信息来源，目的仅在向有关用户做出风险提示，本公司不对相关内容的合法性及真实性承担法律责任，有关用户请联系相关厂商进行核实和漏洞修复。