信息來源：FreeBuf 

Apache Struts 2是世界上最流行的Java Web服務(wù)器框架之一。然而不幸的是，有安全研究員在Struts 2上發(fā)現(xiàn)了一枚遠(yuǎn)程代碼執(zhí)行漏洞。 目前Apache官方已發(fā)布公告，該漏洞危險級別為高危。

FreeBuf百科：Struts 2

Struts 2是Struts的下一代產(chǎn)品，是在 struts 1和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)差別巨大。Struts 2以WebWork為核心，采用攔截器的機(jī)制來處理用戶的請求，這樣的設(shè)計(jì)也使得業(yè)務(wù)邏輯控制器能夠與 ServletAPI完全脫離開，所以Struts 2可以理解為WebWork的更新產(chǎn)品。雖然從Struts 1到Struts 2有著太大的變化，但是相對于WebWork，Struts 2的變化很小。

今天有安全研究員在Struts 2上發(fā)現(xiàn)了一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2016-0785），所以Struts 2的開發(fā)者和用戶都應(yīng)該知曉這枚漏洞，以防被不法企圖者惡意利用。

受影響的Struts 2版本

Struts 2.0.0 – Struts Struts 2.3.24.1

修復(fù)建議

當(dāng)重分配傳入Struts標(biāo)簽屬性的參數(shù)時，總是進(jìn)行驗(yàn)證

建議用戶將Struts升級至 2.3.25版本。

FreeBuf將持續(xù)跟蹤報道該漏洞細(xì)節(jié)，請關(guān)注。

*參考來源http://struts.apache.org/docs/s2-029.html，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）