Struts 2.3.32升级到Struts2.3.35

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/TivonaLH/article/details/81985108

更新缘由:
北京时间8月22日13时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(cve-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace 值,并且其上层动作集配置没有或只有通配符命名空间值,可能构成 RCE攻击。第二,当使用没有 value和动作集的url标签时,并且其上层动作集配置没有或只有通配符命名空间值,也可能构成 RCE 攻击。

受影响的版本
l Struts version 2.3.0 – 2.3.34
l Struts version 2.5.0 – 2.5.16

不受影响的版本
l Struts version 2.3.35
l Struts version 2.5.17

解决方案:
请尽快升级至 Apache Struts version 2.3.35 或者 2.5.17。
相关链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-057
http://struts.apache.org/download.cgi

具体操作:

1.下载Struts2.3.35的jar包

2.将下载好的jar包替换到项目中

 

展开阅读全文

没有更多推荐了,返回首页