188金宝搏在线登录网页版 Struts2框架远程代码执行漏洞安全预警与建议

近日，金牌娱乐手机版登录信息安全威胁情报中心监测到Apache Struts官方发布安全公告，披露了Apache Struts框架漏洞S2-062 (CVE-2021-31805)，攻击者可构造恶意的OGNL表达式触发漏洞，从而实现远程代码执行。目前Struts官方已发布安全版本，金牌娱乐手机版登录信息安全应急中心建议受影响单位和用户立即升级至安全版本。

188体育投注最新网址

该漏洞由于对s2-061（CVE-2020-17530）的修复不完整，导致输入验证不正确。 当开发人员使用了 %{…} 语法进行强制OGNL解析时，仍有一些特殊的TAG属性可被二次解析，导致攻击者可构造恶意的OGNL表达式触发漏洞，从而实现远程代码执行。

188体育投注最新网址

影响范围：2.0.0 <= Apache Struts版本 <= 2.5.29

利用条件：漏洞需要开发实际代码写法支持，目前判断被利用的 实际风险较低

188金宝搏在线登录彩票

目前 S truts官方已发布安全补丁，金牌娱乐手机版登录信息提醒各相关单位和用户要强化风险意识，切实加强安全防范：

目前Struts官方已发布安全版本：2.5.30。建议用户尽快自查，对受影响的版本及时升级至最新版本： https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

188体育投注注册网站

1、若项目是采用 maven 编译，可查看pom.xml文件确定struts2使用的版本号是否在影响范围内，如下2.5.10版本在受影响版本范围内：

2、在应用目录下搜索是否使用struts2-core，特别在应用的WEB-INF\lib目录下搜索，如果存在struts2-core-{version}.jar，且查看所使用版本号是否在受影响范围内，如下2.5.10版本在受影响的版本范围内：

附参考链接： https://cwiki.apache.org/confluence/display/WW/S2-062