Struts 是一個開源的 Java Web MVC 框架,也是 Apache 軟件基金會的一個開源項目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,現在市面上說的 Struts 主要是指 Struts 2。
很不幸,現在 Struts 2 也是被淘汰的框架了,但也有很多老項目也還是在用 Struts 2 的,所有還在用的小伙伴們需要關注一下。
具體就不多說了,可以看棧長之前分享的:Struts2 為什么被淘汰?
漏洞說明
攻擊者可以利用文件上傳漏洞,覆蓋訪問權限,以造成服務器拒絕服務。文件上傳又有漏洞,這個真是牛皮癬啊,一直好不了。
影響范圍:所有使用 Struts 2 的用戶
- 危害等級:中
- 危害程度:拒絕服務
- 受影響版本:2.0.0 ~ 2.5.20
- 廠商:Apache
- 發布時間:2020-08-11
- 報告者:Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
- CVE編號:CVE-2019-0233
漏洞修復
目前 Apache 已經在官網發布了漏洞修復方案,用戶可以升級到 Struts 2.5.22+ 以修復漏洞。
如果升級版本太麻煩,實際情況不允許,也可以在 struts-default.xml 配置文件中 struts.excludedPackageNames 標簽添加 java.io. 和 java.nio. 以排除這兩個包名。
漏洞詳情及修復鏈接:
盡快升級保平安吧!
也歡迎大家轉發給還在用 Struts 2 的小伙伴們!
推薦去我的博客閱讀更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
覺得不錯,別忘了點贊+轉發哦!