大工网安告[2022]016号

一、情况分析

近日，Apache官方发布安全通告，披露了其Struts2框架存在远程代码执行漏洞（S2-062），对应CVE编号：CVE-2021-31805。该漏洞是由于CVE-2020-17530 (S2-061) 发布的修复不完整，导致某些标签的属性可以执行OGNL表达式，最终导致远程代码执行。目前漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，目前官方已发布新版本修复了此漏洞，请受影响的用户尽快更新进行防护。

二、影响范围

受影响的产品版本:

Struts 2.0.0 - Struts 2.5.29

三、处置建议

官方建议：升级到 Struts 2.5.30或更高版本。官方已发布新版本修复此漏洞，下载链接：

https://struts.apache.org/download.cgi#struts-ga。

参考链接：https://cwiki.apache.org/confluence/display/WW/S2-062