首页 > 安全 > 正文

CVE-2021-31805 Apache Struts中的RCE错误最终修补了

最后更新 :2022.04.14

Apache在Apache Struts RCE中寻址了一个临界漏洞,该RCE链接到未正确修复的先前问题。

Apache Struts是开发Java EE Web应用程序的开源Web应用程序框架。

Apache软件基金会敦促组织解决漏洞,追踪为CVE-2021-31805,影响Struts版本的2.0.0至2.5.29。攻击者可以触发这种脆弱性来控制受影响的系统。

根据Apache发布的咨询,本组织涉及的问题是Apache Struts与先前的OGNIN注入缺陷相关的临界缺陷(CVE-2020-17530)没有正确固定。

远程代码执行漏洞,跟踪为  cve-2020-17530,当在标签属性中的原始用户输入时驻留在强制上的INGL评估中。

“强制上的INGHL评估,在评估标签属性中的原始用户输入时,MAy导致远程执行 - 类似于  s2-059。“读取  advisory 由Apache软件基础发布。 “一些标签的属性如果通过使用&nbsp使用&nbsp的开发人员应用于 

%{...} 

句法。在不受信任的用户输入上使用强制的IGNIN评估可以导致远程代码执行和安全性降级。“ 在使用%{...}语法强制评估时,标签的属性可以执行双重评估。强制对不受信任的输入进行评估,可以实现远程代码执行。

CVE-2020-17530(S2-061)发出的修复程序不完整。如果开发人员使用%{...}语法迫使INGHL评估,则某些标签属性可以执行双重评估。在不受信任的用户输入上使用强制的IGNIN评估可以导致远程执行代码和安全性降级。阅读Apache发布的咨询。

ciSA还发布了Struts 2推荐组织和NBSP的安全咨询;升级他们的安装。

Apache Advance建议避免在不受信任的用户输入上使用强制的INognl评估,和/或升级到Struts&Nbsp; 2.5.30 或更大检查表达式评估是否导致了双重评估。

请投票为安全事务作为最佳欧洲网络安全博主奖奖励2022投票投票对我来说,弱者最好的个人(非商业)安全博客和Tech Whiz最佳技术博客和您选择的其他人。
提名,请访问:
https://docs.google.com/ forms / d / e / 1faipqlsfxxriscimz9qm9iipumqic-ioM-npqmosfznjxrbqryjgcow / viewform

- END -

看更多