一、概要

今日Apache官方公布一個Struts 2 RCE（遠(yuǎn)程代碼執(zhí)行）漏洞，在定義XML配置時如果namespace值未設(shè)置且上層動作配置（Action Configuration）中未設(shè)置或用通配符namespace時可能會導(dǎo)致遠(yuǎn)程代碼執(zhí)行；url標(biāo)簽未設(shè)置value和action值且上層動作未設(shè)置或用通配符namespace時可能會導(dǎo)致遠(yuǎn)程代碼執(zhí)行。目前官方已發(fā)布修復(fù)方案。

利用漏洞：CVE-2018-11776

參考鏈接：https://cwiki.apache.org/confluence/display/WW/S2-057

二、漏洞級別

漏洞級別：【嚴(yán)重】

（說明：漏洞級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

Struts 2.3 - Struts 2.3.34，Struts 2.5 - Struts 2.5.16確認(rèn)受影響；

其余版本可能也受影響。

四、安全建議

官方解決方案：升級至版本2.3.35或2.5.17。

升級鏈接：https://struts.apache.org/download.cgi#struts2517

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。