2018年8月22日，阿里云云盾应急响应中心监测到Apache官方发布了安全更新，披露了一个远程代码执行漏洞S2-057。

漏洞描述
定义XML配置namespace值为通配符(“/*”)，或在上层action中namespace值缺省时可能会导致web应用远程代码执行漏洞。

如下两种配置存在漏洞：
<action name="a1">
      <result type="redirectAction">
        <param name="actionName">a2.action</param>
      </result>
 </action>

或：
<action name="help" namespace="/*">
  <result>/WEB-INF/help.jsp</result>
</action>

参考链接：https://cwiki.apache.org/confluence/display/WW/S2-057

官方评级
CVE-2018-11776：严重

影响范围
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16

安全建议
升级至最新版本：升级至版本2.3.35或2.5.17
升级链接：https://struts.apache.org/download.cgi 

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心
2018.08.22