漏洞说明
CVE-2016-100031:Apache Struts项目发布了关于CVE-2016-100031漏洞的安全公告,这是2016年初由Tenable研究团队报告的Commons FileUpload 库在低于1.3.3的版本中存在的一个反序列化漏洞,但此前Apache Struts并未予以重视,导致这个库作为Apache Struts 2的一部分,被用作文件上传的默认机制。
目前Apache Struts 2.5.x系列低于2.5.12的版本和Apache Struts 2.3.X系列中包括2.3.36以及之前的版本默认安装存在漏洞的Commons FileUpload 库。该漏洞可导致远程攻击者利用此漏洞在运行易受攻击的Apache Struts版本的网站上获得远程代码执行能力。
CVE-2021-31805:近日,深信服安全团队监测到一则 Apache Struts2 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-31805,漏洞威胁等级:高危。该漏洞是由于 Apache Struts2 对 CVE-2020-17530(S2-061) 的修复不够完整,导致一些标签属性仍然可以执行 OGNL 表达式,攻击者利用该漏洞可以构造恶意数据远程执行任意代码。
struts2 远程代码执行漏洞对smartbi的影响性说明
Smartbi没有使用struts框架,所以并不存在‘struts2 远程代码执行漏洞’。
