更新時間:2022/04/28 08:27:14
發佈時間:2022/04/28 08:27:14
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Apache Struts 是一個開放原始碼的 Java EE 網路應用程式的 Web 應用框架,此漏洞為若開發者使用強制執行 OGNL(Object Graph Navigation Language) Evaluation ,可能導致未經授權的使用者於特定網頁標籤輸入含有惡意指令之資訊而觸發,攻擊者可利用此漏洞自遠端執行惡意程式碼。
二、已揭露攻擊程式碼說明[2]
GitHub 已有關於此漏洞之攻擊程式碼。
三、影響平台
Struts 2.0.0 至 Struts 2.5.29(含)
四、CVSS向量: CVE-2021-31805 [3]
使用版本:CVSS 3.0
分析分數:9.8
影響等級:3
參考來源: NVD
五、建議措施:
1.CVE-2021-31805 [1]
Struts已於2022年4月份發布更新,建議評估後執行。
六、參考資訊:
1. Struts
https://cwiki.apache.org/confluence/display/WW/S2-062
https://struts.apache.org/security/#do-not-use-incoming-untrusted-user-input-in-forced-expression-evaluation
2. Github
https://github.com/aeyesec/CVE-2021-31805
3. NVD
https://nvd.nist.gov/vuln/detail/CVE-2021-31805
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202204-0005
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞