2018年8月22日，阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測到Apache官方發(fā)布了安全更新，披露了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞S2-057。

漏洞描述
定義XML配置namespace值為通配符(“/*”)，或在上層action中namespace值缺省時(shí)可能會(huì)導(dǎo)致web應(yīng)用遠(yuǎn)程代碼執(zhí)行漏洞。

如下兩種配置存在漏洞：

     
        a2.action
     
 

或：

  /WEB-INF/help.jsp

參考鏈接：https://cwiki.apache.org/confluence/display/WW/S2-057

官方評(píng)級(jí)
CVE-2018-11776：嚴(yán)重

影響范圍
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16

安全建議
升級(jí)至最新版本：升級(jí)至版本2.3.35或2.5.17
升級(jí)鏈接：https://struts.apache.org/download.cgi