????? 武漢安域信息安全技術有限公司通過對互聯網安全漏洞信息的跟蹤，通過互聯網監測到Apache Struts2被曝出遠程代碼執行漏洞（CVE-2021-31805）。攻擊者利用該漏洞，可遠程執行任意代碼，獲取目標服務器權限。目前，漏洞利用原理已公開，官方補丁已發布。該漏洞的綜合評級為“高?！?，建議用戶盡快進行評估修復。


一、 漏洞描述

???? Apache Struts2框架是一個用于開發Java EE網絡應用程序的Web框架，它本質上相當于一個servlet，在MVC設計模式中，Struts2作為控制器(Controller)來建立模型與視圖的數據交互。
?????? 2022年4月12日，Apache發布安全公告，修復了一個Apache Struts2 中的遠程代碼執行漏洞。漏洞編號：CVE-2021-31805，漏洞威脅等級：高危。該漏洞是由于對 CVE-2020-17530 (S2-061) 的修復不完善。導致一些標簽的屬性仍然可以執行 OGNL 表達式，最終可導致遠程執行任意代碼。


二、 漏洞來源

?????? https://cwiki.apache.org/?


三、 受影響版本

????? Apache Struts2 2.0.0 - 2.5.29


四、 修復建議

?????? 廠商已發布補丁修復漏洞，用戶請盡快更新至安全版本：Struts 2.5.30或更高版本。補丁鏈接如下：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30? 與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。
??????

?????? 若需要進一步獲得有關安全咨詢，歡迎垂詢武漢安域信息安全技術有限公司安全服務專家。

?????? 本信息通告的內容系摘抄或引用自其他信息來源，目的僅在向有關用戶做出風險提示，本公司不對相關內容的合法性及真實性承擔法律責任，有關用戶請聯系相關廠商進行核實和漏洞修復。