您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
關(guān)于Apache Struts2安全漏洞的通報(bào)
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache Struts2安全漏洞(CNNVD-202204-3223、CVE-2021-31805)情況的報(bào)送。成功利用此漏洞的攻擊者,可在目標(biāo)服務(wù)器遠(yuǎn)程執(zhí)行惡意代碼,進(jìn)而控制目標(biāo)服務(wù)器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。目前,Apache官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、漏洞介紹
Apache Struts2是美國(guó)阿帕奇(Apache)基金會(huì)的一個(gè)開(kāi)源項(xiàng)目,是一套用于創(chuàng)建企業(yè)級(jí)Java Web應(yīng)用的開(kāi)源MVC框架,Struts2作為控制器來(lái)建立模型與視圖的數(shù)據(jù)交互。
該漏洞是由于Apache對(duì)ApacheStruts2代碼注入漏洞(CNNVD-202012-449、CVE-2020-17530)修復(fù)不完整導(dǎo)致,攻擊者可繞過(guò)漏洞補(bǔ)丁,通過(guò)構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)服務(wù)器執(zhí)行命令。
二、危害影響
成功利用此漏洞的攻擊者,可在目標(biāo)服務(wù)器遠(yuǎn)程執(zhí)行惡意代碼,進(jìn)而控制目標(biāo)服務(wù)器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。
三、修復(fù)建議
目前,Apache官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。官方鏈接如下:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30
本通報(bào)由CNNVD技術(shù)支撐單位——深信服科技股份有限公司、華為技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、新華三技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、北京華云安信息技術(shù)有限公司、南京銥迅信息技術(shù)股份有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京奇虎科技有限公司、亞信科技(成都)有限公司、北京永信至誠(chéng)科技股份有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、長(zhǎng)春嘉誠(chéng)信息技術(shù)股份有限公司、杭州迪普科技股份有限公司、內(nèi)蒙古奧創(chuàng)科技有限公司、上海斗象信息科技有限公司、安徽華云安科技有限公司、烽臺(tái)科技(北京)有限公司提供支持。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時(shí)發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。聯(lián)系方式: cnnvdvul@itsec.gov.cn
來(lái)源:CNVD安全動(dòng)態(tài)