<跨风格="颜色:# 000000 "> Apache软件基金会发布了一个 安全公告s2 - 062, 以解决Struts 2.0.0到2.5.29版本中存在的一个远程代码执行漏洞;攻击者可以利用此漏洞来控制受影响的系统。对此,美国 <跨风格=" background - color: # ffffff;颜色:# 070707 ">网络安全和基础设施安全局(CISA)也发布公告敦促组织查看 Apache的公告,并 尽 <跨风格=" background - color: # ffffff;颜色:# 070707 ">快升级到最新Struts 2的补丁版本。
<跨风格=" background - color: # ffffff;颜色:# 070707 ">该漏洞被跟踪为cve - 2021 - 31805,是 由于2020年cve - 2020 - 17530 ( s2 - 061) 的不完整修复造成的。也就是说,这一漏洞早在2020年就已存在且当时被认为已修复,但事实证明问题并未完全得到解决。
<跨风格=" background - color: # ffffff;颜色:# 070707 ">在2020年,GitHub的研究人员阿尔瓦罗·穆尼奥斯和Aeye安全实验室的Masato Anzai报告了 Struts 2版本2.0.0 - 2.5.25在某些情况下存在一个OGNL注入漏洞,编号为cve - 2020 - 17530,在CVSS严重性方面获得了9.8分(满分10分)。
<跨风格=" background - color: # ffffff;颜色:# 070707”>“如果开发者使用% {…}语法进行强制OGNL评估,标签的一些属性仍然可以执行双重评估。对不信任的用户输入使用强制OGNL评估可能导致远程代码执行和安全性能下降。”
<跨风格=" background - color: # ffffff;颜色:# 070707 ">对象图导航语言(对象图导航的语言, OGNL <跨风格=" background - color: # ffffff;颜色:# 070707 ">)是一种开源的Java表达式语言,简化了Java语言中的表达式范围。 它 被集成在Struts2等框架中,作用是对数据进行访问,拥有类型转换,访问对象方法,操作集合对象等功能。
尽管Apache Struts在2.5.26中解决了2020年所报告的漏洞,但研究人员麦克考恩克里斯说 <跨风格=" background - color: # ffffff;颜色:# 070707 ">发现,所应用的修复方案并不完整。他向Apache报告称,“双重评估”问题仍然可以在Struts版本2.5.26及更高版本中重现。
作为解决措施,Apache方面建议开发人员避免 <跨风格=" background - color: # ffffff;颜色:# 070707 ">基于不受信任的用户输入在标签属性中使用强制OGNL评估 ,和/或升级到Struts 2.5.30或更高版本,以检查表达式评估是否不会导致双重评估。并建议遵循安全指南以获得最佳实践。
0 留言