1、漏洞
CVE编号:CVE-2021-31805。
影响范围:Apache Struts2 版本从2.0.0至2.5.29均受影响。
漏洞成因:由于Struts2在处理OGNL表达式时,存在二次解析的问题,导致攻击者可以通过构造特定的OGNL表达式触发远程代码执行。
修复建议:升级到不受此漏洞影响的版本,或采用其他安全措施来防止恶意代码执行。
2、漏洞详情
S2-062:该漏洞是由于之前S2-061(CVE-2020-17530)的不完整修复导致的,当开发人员使用了%{…}语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析,从而触发漏洞。
示例:如果将url参数skillName传递给页面,通常访问https://<domain>/?skillName=abctest,后端代码执行单次OGNL解析,但当用户传入的数据执行两次OGNL解析时,就会存在漏洞,当访问https://<domain>/?skillName=%{3*3}时,后端将执行两次OGNL解析,从而导致id=9。
3、防护措施
版本更新:确保所有使用Struts2的系统都升级到最新的、不受此漏洞影响的版本。
输入验证:加强对用户输入的验证和过滤,避免恶意代码的注入。
监控与日志:实施实时监控和日志记录,以便及时发现和响应潜在的攻击行为。
ST漏洞是一种常见的安全风险,需要通过及时的软件更新、严格的输入验证和有效的安全策略来防范,对于使用Struts2框架的用户来说,了解这些漏洞的成因和影响范围是非常重要的,以便采取适当的防护措施来保护自己的系统不受攻击。
各位小伙伴们,我刚刚为大家分享了有关st漏洞的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/66643.html
