近日，國家信息安全漏洞庫（CNNVD）收到關于Apache Struts2安全漏洞（CNNVD-202204-3223、CVE-2021-31805）情況的報送。成功利用此漏洞的攻擊者，可在目標服務器遠程執(zhí)行惡意代碼,進而控制目標服務器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。目前，Apache官方已發(fā)布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Apache Struts2是美國阿帕奇（Apache）基金會的一個開源項目，是一套用于創(chuàng)建企業(yè)級Java Web應用的開源MVC框架，Struts2作為控制器來建立模型與視圖的數(shù)據(jù)交互。

該漏洞是由于Apache對Apache Struts2代碼注入漏洞(CNNVD-202012-449、CVE-2020-17530)修復不完整導致，攻擊者可繞過漏洞補丁，通過構造惡意數(shù)據(jù)對目標服務器執(zhí)行命令。

二、危害影響

成功利用此漏洞的攻擊者，可在目標服務器遠程執(zhí)行惡意代碼,進而控制目標服務器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影響。

三、修復建議

目前，Apache官方已發(fā)布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

文章來源：國家信息安全漏洞庫