近日，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Apache Struts2安全漏洞（CNNVD-202204-3223、CVE-2021-31805）情況的報(bào)送。成功利用此漏洞的攻擊者，可在目標(biāo)服務(wù)器遠(yuǎn)程執(zhí)行惡意代碼,進(jìn)而控制目標(biāo)服務(wù)器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。目前，Apache官方已發(fā)布新版本修復(fù)了漏洞，請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

一、漏洞介紹

Apache Struts2是美國(guó)阿帕奇（Apache）基金會(huì)的一個(gè)開源項(xiàng)目，是一套用于創(chuàng)建企業(yè)級(jí)Java Web應(yīng)用的開源MVC框架，Struts2作為控制器來(lái)建立模型與視圖的數(shù)據(jù)交互。

該漏洞是由于Apache對(duì)Apache Struts2代碼注入漏洞(CNNVD-202012-449、CVE-2020-17530)修復(fù)不完整導(dǎo)致，攻擊者可繞過(guò)漏洞補(bǔ)丁，通過(guò)構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)服務(wù)器執(zhí)行命令。

二、危害影響

成功利用此漏洞的攻擊者，可在目標(biāo)服務(wù)器遠(yuǎn)程執(zhí)行惡意代碼,進(jìn)而控制目標(biāo)服務(wù)器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。

三、修復(fù)建議

目前，Apache官方已發(fā)布新版本修復(fù)了漏洞，請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

文章來(lái)源：國(guó)家信息安全漏洞庫(kù)