Apache Struts2是一个用于开发Java EE网络应用程序的Web框架。在MVC设计模式中，Struts2作为控制器来建立模型与视图的数据交互。

漏洞详情

近日，Apache Struts 官方发布安全通告，修复了一个远程代码执行漏洞S2-062（CVE-2021-31805）。

该漏洞是由于对 S2-061（CVE-2020-17530）的修复不完全，导致一些标签属性仍然可以执行 OGNL 表达式；当开发人员使用了 %{…} 语法进行强制 OGNL 解析时，仍有一些特殊的 TAG 属性可被二次解析，攻击者可构造恶意的 OGNL 表达式触发漏洞，从而实现远程代码执行。

影响范围

2.0.0 <= Apache Struts <= 2.5.29

修复建议

目前官方已发布新版本修复了此漏洞，请及时更新Struts至2.5.30或更高版本。

下载链接：https://struts.apache.org/download.cgi#struts-ga

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-062