NVD脆弱性詳細

CVE-2021-31805

概要	The fix issued for CVE-2020-17530 was incomplete. So from Apache Struts 2.0.0 to 2.5.29, still some of the tag’s attributes could perform a double evaluation if a developer applied forced OGNL evaluation by using the %{...} syntax. Using forced OGNL evaluation on untrusted user input can lead to a Remote Code Execution and security degradation.
公表日	2022年4月13日1:15
登録日	2022年4月13日10:00
最終更新日	2024年11月21日15:06

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:struts::::::::		2.0.0	2.5.29

関連情報、対策とツール

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2022/04/12/6	Mailing List Mitigation Third Party Advisory
2	http://www.openwall.com/lists/oss-security/2022/04/12/6	Mailing List Mitigation Third Party Advisory
3	https://cwiki.apache.org/confluence/display/WW/S2-062	Mitigation Patch Vendor Advisory
4	https://cwiki.apache.org/confluence/display/WW/S2-062	Mitigation Patch Vendor Advisory
5	https://security.netapp.com/advisory/ntap-20220420-0001/	Third Party Advisory
6	https://security.netapp.com/advisory/ntap-20220420-0001/	Third Party Advisory
7	https://www.oracle.com/security-alerts/cpujul2022.html
8	https://www.oracle.com/security-alerts/cpujul2022.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-917	言語構文の表現に使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/917.html

JVN脆弱性情報

Apache Struts 2 において任意のコードを実行される脆弱性（S2-062）

タイトル	Apache Struts 2 において任意のコードを実行される脆弱性（S2-062）
概要	The Apache Software Foundation が提供する Apache Struts 2 には、不適切な入力確認（CWE-20, CVE-2021-31805）に起因する任意のコードが実行可能な脆弱性が存在します。
想定される影響	遠隔の第三者によって、任意のコードを実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。開発者は本脆弱性を修正した、バージョン 2.5.30 をリリースしています。
公表日	2022年4月13日0:00
登録日	2022年4月14日17:37
最終更新日	2022年9月26日17:55

影響を受けるシステム

Apache Software Foundation

Apache Struts 2.0.0 から 2.5.29 まで

日本電気

ESMPRO/ServerManager 6.10 から 6.58

ESMPRO/ServerManager 7.00 から 7.12

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-31805	https://www.cve.org/CVERecord?id=CVE-2021-31805
National Vulnerability Database (NVD)
2	CVE-2021-31805	https://nvd.nist.gov/vuln/detail/CVE-2021-31805

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Apache Software Foundation
1	04 April 2022 - Struts 2.5.30 General Availability	https://struts.apache.org/announce-2022#a20220404
2	S2-062	https://cwiki.apache.org/confluence/display/WW/S2-062
3	Version Notes 2.5.30	https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30
NEC製品セキュリティ情報
4	NV22-013	https://jpn.nec.com/security-info/secinfo/nv22-013.html

その他

No	名前	URL
JPCERT 緊急報告
1	JPCERT-AT-2022-0011	https://www.jpcert.or.jp/at/2022/at220011.html
JVN
2	JVNVU#96910606	http://jvn.jp/vu/JVNVU96910606/index.html

変更履歴

No	変更内容	変更日
1	[2022年04月14日] 掲載	2022年4月14日17:10
2	[2022年05月24日] CVSS による深刻度：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2021-31805) を追加	2022年5月24日11:04
3	[2022年09月26日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV22-013) を追加	2022年9月26日15:51