近日，国内安全机构研究发现,J2EE框架—Struts2存在远程代码执行漏洞,目前已得到Struts官方确认(漏洞编号S2-045,CVE编号:cve-2017-5638 ),定级为高风险。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令，会对受影响站点造成严重危害，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

该漏洞可能影响到国内外大多数使用Struts2开发框架的站点，受影响的软件版本包括：Struts2.3.5-2.3.31, Struts2.5-Sruts2.5.10。

鉴于该漏洞危害性较大，请各单位迅速组织技术维护人员对本单位网站进行全面检查，发现使用Struts2开发框架的，及时核查修复漏洞，加强安全防护。

附漏洞修复的参考方法：

方式1：升级struts2，下载链接https://dist.apache.org/repos/dist/release/struts/2.3.32/，https://dist.apache.org/repos/dist/release/struts/2.5.10.1/ 

方法2：修改struts2组件中的default.properties文件，将struts.multipart.parser的值由jakarta更改为pell。    

方法3: 通过WAF等过滤方式对Content-Type中入侵的关键字：DEFAULT_MEMBER_ACCESS做过滤。

f28365网络警察支队

                                                   2017年3月9日