全部产品
云市场

【漏洞公告】Struts 2 远程命令执行漏洞

更新时间:2017-11-23 10:04:02

漏洞描述

Apache Struts 是一个免费的开源 MVC 框架,用于创建 Java Web 应用程序。

在 Struts 2 开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者可借助 REST 插件,对 Struts 2 发起远程代码执行攻击。

受影响范围

Struts 2.3.20 - 2.3.28

修复方案

  • 使用云盾 Web 应用防火墙 拦截此漏洞的攻击代码。

  • struts.xml 中,将 struts.enable.DynamicMethodInvocation 设置为 False

  • 通过 官方网站,将 Struts 升级到 2.5 或以上。