近日，海峽信息安全威脅情報中心監(jiān)測到Apache Struts官方發(fā)布安全公告，披露了Apache Struts框架漏洞S2-062 (CVE-2021-31805)，攻擊者可構(gòu)造惡意的OGNL表達(dá)式觸發(fā)漏洞，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前Struts官方已發(fā)布安全版本，海峽信息安全應(yīng)急中心建議受影響單位和用戶立即升級至安全版本。

一、漏洞描述

該漏洞由于對s2-061（CVE-2020-17530）的修復(fù)不完整，導(dǎo)致輸入驗(yàn)證不正確。當(dāng)開發(fā)人員使用了 %{…} 語法進(jìn)行強(qiáng)制OGNL解析時，仍有一些特殊的TAG屬性可被二次解析，導(dǎo)致攻擊者可構(gòu)造惡意的OGNL表達(dá)式觸發(fā)漏洞，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

二、影響范圍及利用條件

影響范圍：2.0.0 <= Apache Struts版本 <= 2.5.29

利用條件：漏洞需要開發(fā)實(shí)際代碼寫法支持，目前判斷被利用的實(shí)際風(fēng)險較低

三、安全防范建議

目前Struts官方已發(fā)布安全補(bǔ)丁，海峽信息提醒各相關(guān)單位和用戶要強(qiáng)化風(fēng)險意識，切實(shí)加強(qiáng)安全防范：

目前Struts官方已發(fā)布安全版本：2.5.30。建議用戶盡快自查，對受影響的版本及時升級至最新版本：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

四、自查框架版本措施

1、若項(xiàng)目是采用 maven 編譯，可查看pom.xml文件確定struts2使用的版本號是否在影響范圍內(nèi)，如下2.5.10版本在受影響版本范圍內(nèi)：

2、在應(yīng)用目錄下搜索是否使用struts2-core，特別在應(yīng)用的WEB-INF\lib目錄下搜索，如果存在struts2-core-{version}.jar，且查看所使用版本號是否在受影響范圍內(nèi)，如下2.5.10版本在受影響的版本范圍內(nèi)：

附參考鏈接：https://cwiki.apache.org/confluence/display/WW/S2-062