S2-062 Apache Struts2遠程代碼執(zhí)行漏洞（CVE-2021-31805）

2022-04-13

一、概要

近日，華為云關注到Apache官方發(fā)布安全公告，披露在 Apache Struts2特定版本中存在一處遠程代碼執(zhí)行漏洞（CVE-2021-31805）。由于對CVE-2020-17530 (S2-061)的修復不完全，導致對不受信任的用戶輸入使用強制OGNL表達式，最終可能導致遠程代碼執(zhí)行。

Apache Struts2一個基于MVC模式的輕量級Web應用程序框架。華為云提醒使用Apache Struts2的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-062

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Struts 2.0.0 - Struts 2.5.29

安全版本：

Struts >= 2.5.30

四、漏洞處置

目前官方已發(fā)布修復版本修復了該漏洞，請受影響的用戶升級到安全版本：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎防護”狀態(tài)設置為“攔截”模式，具體方法請參見配置Web基礎防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。