(CVE-2020-17530)(CVE-2021-31805)
Struts2-061 远程命令执行漏洞(CVE-2020-17530)
影响范围:Struts2.0.0 – Struts2.5.25
信息收集:nmap 192.168.85.130 -p 8080 -sV -A
您没有 权限 查看此处内容!
Struts2-062 代码执行漏洞(CVE-2021-31805)
影响范围:Struts 2.5-2.5.22和Struts 2.3-2.3.38版本
该漏洞由于对CVE-2020-17530的修复不完整造成的,CVE-2020-17530漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 其中x 的值用户可控时,用户再传入一个 %{payload} 即可造成OGNL表达式执行。在CVE-2021-31805漏洞中,仍然存在部分标签属性会造成攻击者恶意构造的OGNL表达式执行,导致远程代码执行。
您没有 权限 查看此处内容!
