该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:Struts 2.3.5 - Struts2.3.31, Struts 2.5 - Struts 2.5.10
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi,debug等功能)以及启用任何插件,因此漏洞危害极为严重。
升级方案:
升级到Struts2.3.32 或者Struts 2.5.10.1版本。官方升级地址:
https://dist.apache.org/repos/dist/release/struts/2.5.10.1/
https://dist.apache.org/repos/dist/release/struts/2.3.32/
------------------------------------------------------------------------------------------------
需要更换的包清单如下:
freemarker-2.3.16.jar
ognl-3.0.6.jar
slf4j-API-1.6.1.jar
struts2-config-browser-plugin-2.3.16.jar
struts2-convention-plugin-2.3.16.jar
struts2-core-2.3.16.jar
struts2-json-plugin-2.3.16.jar
struts2-spring-plugin-2.3.16.jar
xwork-core-2.3.16.jar
