背景:
struts2近日被曝存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞
(漏洞编号 S2-045,CVE编号: cve-2017-5638),并定级为高危。
由于该漏洞影响范围极广(Struts2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),
漏洞危害程度极为严重,可直接获取应用系统所在服务器的控制权限。
如果你当前的项目使用了 Struts2.3.5至 Struts 2.3.31版本或者 Struts 2.5至Struts 2.5.10版本
必须替换的jar包:
1. xwork-core-2.3.32.jar
2. struts2-json-plugin-2.3.32.jar
3. struts2-core-2.3.32.jar
可能需要替换或增加的jar包:
1. struts2-spring-plugin-2.3.32.jar
2. ognl-3.0.19.jar
3. javassist-3.11.0.GA.jar
4. freemarker-2.3.22.jar
可能需要增加的文件
struts2近日被曝存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞
(漏洞编号 S2-045,CVE编号: cve-2017-5638),并定级为高危。
由于该漏洞影响范围极广(Struts2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),
漏洞危害程度极为严重,可直接获取应用系统所在服务器的控制权限。
如果你当前的项目使用了 Struts2.3.5至 Struts 2.3.31版本或者 Struts 2.5至Struts 2.5.10版本
必须替换的jar包:
1. xwork-core-2.3.32.jar
2. struts2-json-plugin-2.3.32.jar
3. struts2-core-2.3.32.jar
可能需要替换或增加的jar包:
1. struts2-spring-plugin-2.3.32.jar
2. ognl-3.0.19.jar
3. javassist-3.11.0.GA.jar
4. freemarker-2.3.22.jar
可能需要增加的文件
1. struts-tags.tld (如果页面中有使用到struts标签的话,需要放置在WEB-INF文件夹下)
jar下载地址:
http://mvnrepository.com
https://git.oschina.net/liufile/tools/attach_files