Apache软件基金会发布安全公告S2-062解决Struts2.0.0至2.5.29远程代码执行漏洞;攻击者可以利用此漏洞来控制受影响的系统。对此,美国网络安全与基础设施安全局(CISA)也发布公告,敦促各组织审查Apache的公告,尽快升级到最新的Struts2补丁版本。该漏洞被跟踪为CVE-2021-31805,是由于2020年对CVE-2020-17530(S2-061)的修复不完整。也就是说,该漏洞早在2020年就存在,当时被认为已修复,但事实证明问题并没有完全解决。2020年,GitHub研究人员AlvaroMunoz和AeyeSecurityLabs的MasatoAnzai报告了Struts2版本2.0.0-2.5.25在特定情况下存在OGNL注入漏洞,追踪为CVE-2020-17530,在CVSS严重性评分中为9.8分的10。“如果开发人员使用%{...}语法强制执行OGNL评估,标签的某些属性仍然可以进行双重评估。对不受信任的用户输入使用强制OGNL评估会导致远程代码执行和安全性降低。”ObjectDiagramObject-GraphNavigationLanguage(OGNL)是一种开源的Java表达式语言,它简化了Java语言中表达式的范围。它集成在Struts2等框架中,作用是访问数据;它具有类型转换、访问对象方法、操作集合对象等功能。尽管Apache解决了2020年在Struts2.5.26中报告的漏洞,但研究人员ChrisMcCown发现所应用的修复并不完整。他向Apache报告说,“双重评估”问题在Struts2.5.26及更高版本中仍然会重现。作为变通方法,Apache建议开发人员避免在基于不受信任的用户输入的标记属性中使用强制性OGNL评估,和/或升级到Struts2.5.30或更高版本以检查表达式评估不会导致双重评估。并且建议遵循最佳实践的安全准则。本文转自OSCHINA文章标题:两年前ApacheStruts严重漏洞再现,官方发布补丁
