漏洞描述
Thefix issued for CVE-2020-17530 (S2-061) was incomplete. Still some of the tag’sattributes could perform a double evaluation if a developer applied forced OGNLevaluation by using the %{…} syntax. Using forced OGNL evaluation onuntrusted user input can lead to a Remote Code Execution and securitydegradation.官方安全通告(参考1)
2022年04月13日,国舜股份监测到Apache官方发布安全公告S2-062(CVE-2021-31805)。该漏洞是由于 CVE-2020-17530的修复不完整所致。如果开发人员使用语法%{…}应用强制OGNL解析,某些tag标签的属性仍然可以被二次解析。攻击者可通过构造恶意的OGNL表达式触发远程代码执行漏洞。
漏洞评级
漏洞等级:高危
漏洞评分:8.5
影响版本
排查方法
-
查看lib中的struts2-core.jar\META-INF\MANIFEST.MF找到Implementation-Version后面对应的数字就是struts2.0的具体版本号。
-
Windows系统查看Maven配置文件pom.xml中关于组件的版本:
-
Linux系统下可使用以下命令查找当前使用的struts2-core包,通过查看其文件名,判断当前版本:
find / -namestruts2-core-*.jar
若当前版本在受影响范围内,则可能存在安全风险。
解决建议 -
Apahce官方已发布最新版本Struts2.5.30修复该漏洞,建议受影响的用户尽快将Apache Struts框架升级至最新版本。