Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告[通俗易懂]

Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告[通俗易懂]1.事件描述监测发现,开源应用框架ApacheStruts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为ApacheStruts2.0.0~2.5.29。目前,该漏洞已在ApacheStruts2.5.30版本中修复。事件类型:漏洞利用事件等级:高危2.影响范围远程代码执行漏洞影响范围:2.0.0<=ApacheStruts<=2.5.29不受影响版本ApacheStruts

大家好,又见面了,我是你们的朋友全栈君。

1. 事件描述

监测发现,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。

  • 事件类型:漏洞利用
  • 事件等级:高危

2. 影响范围

远程代码执行漏洞影响范围
2.0.0<=Apache Struts <= 2.5.29
不受影响版本
Apache Struts >= 2.5.30

3.修补方案

目前漏洞细节和利用代码已公开,攻击者可利用该漏洞远程在目标系统上执行任意代码。
1)排查方法:
使用maven打包的项目可通过pom.xml查看当前使用的Struts2版本:
在这里插入图片描述

2)处置措施:
目前官方已发布修复补丁,可考虑业务影响性后展开补丁修复工作。
将Apache Struts版本提升至2.5.30
在这里插入图片描述
升级步骤以及遇到的问题见:
Struts2升级2.5.30的那些坑
https://blog.csdn.net/weixin_44254243/article/details/124250662


若有错误,希望大佬指出。 对你有帮助给点个?再走呗。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/158480.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • Nginx-rtmp、FFmpeg实现直播效果并在web页面播放「建议收藏」

    Nginx-rtmp、FFmpeg实现直播效果并在web页面播放「建议收藏」本文参考链接:https://blog.csdn.net/u011424614/article/details/113420000前情提示:本文使用的是windows10系统主要流程讲解1.本文选择的路线是视频文件–>FFmpeg–>nginx–>web播放2.FFmpeg是一个强大的视频编辑软件,基本干视频,音频的多多少少都会用到这个软件。本文中FFmpeg的作用是将视频整成视频流的形式。3.nginx的作用主要是将FFmpeg的视频流进行发布,供web进行访问。4.

  • 缓冲区溢出 攻击 「建议收藏」

    缓冲区溢出 攻击 「建议收藏」#缓冲区溢出漏洞实验##缓冲区溢出缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制,甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲

  • validationEngine参数详解

    validationEngine参数详解validationEngine·jQueryv1.4.4+注意事项:1.演示版本为v2.2.4;2.v2.0以下的版本参数并不完全通用;对 validationEngine.jquery.css 文件进行修改,修改如下:1.提示内容字体改为宋体;2.去除中各浏览器的私有属性(各浏览器已经支持圆角和阴影,不再需要加私有属性)。…

  • laravel-admin 自定义导出表单

    laravel-admin 自定义导出表单

    2021年10月30日
  • カード名義_acm题

    カード名義_acm题原题链接给定一棵包含 n 个节点的有根无向树,节点编号互不相同,但不一定是 1∼n。有 m 个询问,每个询问给出了一对节点的编号 x 和 y,询问 x 与 y 的祖孙关系。输入格式输入第一行包括一个整数 表示节点个数;接下来 n 行每行一对整数 a 和 b,表示 a 和 b 之间有一条无向边。如果 b 是 −1,那么 a 就是树的根;第 n+2 行是一个整数 m 表示询问个数;接下来 m 行,每行两个不同的正整数 x 和 y,表示一个询问。输出格式对于每一个询问,若 x 是 y 的祖先则输

  • Thread.currentThread().getContextClassLoader()与Test.class.getClassLoader()区别

    Thread.currentThread().getContextClassLoader()与Test.class.getClassLoader()区别忘记以前有没有问过这个问题,总之我现在有看到几个地方有这个:Thread.currentThread().getContextClassLoader()我总是想不出在什么情况下会用这种方式获得一个ClassLoader,因为好像默认情况下,它返回的是和加载应用的ClassLoader是同一个,比如说在一个类Test中写ClassLoader cl = Thread.curren

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号