漏洞引发的威胁:
服务器直接被远程控制。
CVSS:(AV:R/AC:L/Au:NR/C:C/A:C/I:C) score:10.00(最高10分,高危)
即:远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均造成完全影响。
影响产品:
Apache Struts Xwork
信息来源:
CNVD
解决方法:
把Struts2的版本升级到Struts2.3.32版本,
归纳如下:
struts2-convention-plugin-2.3.15.1.jar
struts2-core-2.3.15.1.jar
struts2-spring-plugin-2.3.15.1.jar
struts2-dojo-plugin-2.1.2.jar
xwork-core-2.3.15.1.jar
freemarker-2.3.19.jar
ognl-3.0.6.jar
从Apache struts 官网http://struts.apache.org/download.cgi#struts-ga 下载Struts2.3.32版本jar包,将以上jar包替换为如下版本
struts2-convention-plugin-2.3.32.jar
struts2-core-2.3.32.jar
struts2-spring-plugin-2.3.32.jar
struts2-dojo-plugin-2.3.32.jar
xwork-core-2.3.32.jar
freemarker-2.3.22.jar
ognl-3.0.19.jar