Struts2高位漏洞升級到struts2.3.32
3月7日帶來了一個高危漏洞Struts2漏洞——CVE編號CVE-2017-5638。其原因是由於Apache Struts2的Jakarta Multipart parser插件存在遠程代碼執行漏洞,攻擊者可以在使用該插件上傳文件時,修改HTTP請求頭中的Content-Type值來觸發該漏洞,導致遠程執行代碼。
- 升級jar包
更新這些jar包:freemarker-2.3.22.jar,ognl-3.0.19.jar,struts2-core-2.3.32.jar,xwork-core-2.3.32.jar,struts2-json-plugin-2.3.32.jar,如果是與spring整合的項目,另加struts2-spring-plugin-2.3.32.jar - struts.xml修改
<constant name="struts.enable.DynamicMethodInvocation" value="true"/> <constant name="struts.convention.action.mapallmatches" value="true"/>
struts.xml修改原因:struts2.3.16.3升級遇到無法動態訪問action的方法的問題。
需要的jar包/檢測的工具
鏈接:http://pan.baidu.com/s/1pKO02Av 密碼:mo2k