一、概要

近期業(yè)界爆出Struts2存在遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2016-1000031），Apache Struts 2.3.36及之前的版本使用了Commons FileUpload 1.3.2及以下版本，這個(gè)庫(kù)作為Struts 2的一部分被用作文件上傳的默認(rèn)機(jī)制，該上傳機(jī)制存在一個(gè)高危漏洞，遠(yuǎn)程攻擊者可以使用此漏洞在運(yùn)行易受攻擊的Apache Struts版本的公開網(wǎng)站上獲得遠(yuǎn)程代碼執(zhí)行能力。業(yè)界已公布利用代碼，官方已發(fā)布修復(fù)方案。

利用漏洞：CVE-2016-1000031

參考鏈接：https://www.cisecurity.org/advisory/a-vulnerability-in-apache-struts-could-allow-for-remote-code-execution_2018-123/

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

二、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說(shuō)明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、漏洞影響范圍

漏洞影響Commons FileUpload 1.3.2及以下版本（Apache Struts 2.3.36及以下版本，和Apache Struts 2.5.12以下版本默認(rèn)包含Commons FileUpload 1.3.2及以下版本）

四、修復(fù)方法

將Commons FileUpload庫(kù)升級(jí)至 1.3.3版本。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。