雷神眾測(cè)漏洞周報(bào)2022.04.11-2022.04.17-4

1.Apache Struts2遠(yuǎn)程代碼執(zhí)行漏洞

漏洞介紹：

安恒信息CERT監(jiān)測(cè)到國(guó)外安全研究員披露了Apache Struts的OGNL表達(dá)式注入漏洞（CVE-2021-31805）的攻擊代碼，攻擊者可利用該漏洞從OGNL實(shí)現(xiàn)沙盒逃逸完成命令執(zhí)行。

漏洞危害：

Apache Struts< 2.5.30 存在OGNL表達(dá)式注入漏洞（CVE-2021-31805），如果開(kāi)發(fā)人員使用%{...} 語(yǔ)法強(qiáng)制OGNL解析時(shí)，當(dāng)對(duì)標(biāo)簽屬性中未經(jīng)驗(yàn)證的原始用戶輸入進(jìn)行二次解析時(shí)，可能會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行，攻擊者可利用該漏洞從OGNL實(shí)現(xiàn)沙盒逃逸完成命令執(zhí)行。

漏洞編號(hào)：

CVE-2021-31805

影響范圍：

Struts 2.0.0 - Struts 2.5.29

修復(fù)方案：

目前官方已發(fā)布新版本修復(fù)了此漏洞，請(qǐng)受影響的用戶盡快更新進(jìn)行防護(hù)

來(lái)源：安恒CERT????

3.Microsoft Office遠(yuǎn)程代碼執(zhí)行漏洞

漏洞介紹：

Microsoft Office是美國(guó)微軟（Microsoft）公司的一款辦公軟件套件產(chǎn)品。該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。

漏洞危害：

Microsoft Office Excel存在遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞源于外部輸入數(shù)據(jù)構(gòu)造代碼段的過(guò)程中，網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未能正確過(guò)濾其中的特殊元素。攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。

漏洞編號(hào)：

CVE-2022-24473

影響范圍：

Microsoft Microsoft Office 2019

Microsoft Microsoft Office 2021

修復(fù)建議：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來(lái)源：CNVD