Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。(来源:百度百科)
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045/S2-046,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。S2-046与之前的S2-045漏洞成因和原理一样,只是漏洞利用的字段发生了改变。
主要影响版本:Struts 2.3.5 – Struts 2.3.31、Struts 2.5 – Struts 2.5.10
漏洞等级为高危
修复建议:
1、升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本。
2、使用百度云加速WAF防火墙进行防御。
3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
想要了解更多关于这次漏洞的内容可以查看浏览以下地址的内容:
https://cwiki.apache.org/confluence/display/WW/S2-045
https://struts.apache.org/docs/s2-046.html
https://cwiki.apache.org/confluence/display/WW/S2-046