2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2 存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。
相关链接如下:https://cwiki.apache.org/confluence/display/WW/S2-053
受影响版本:
- Struts 2.0.1 – Sturts 2.3.33
- Struts 2.5 – Struts 2.5.10
不受影响的版本
- Struts 2.3.34
- Struts 2.5.12
规避方案
用户应避免在Freemarker的结构代码中使用可写的属性,或者使用只读属性来初始化value属性(仅限getter属性)。
请受影响的用户立即升级到不受影响的版本来防护该漏洞。
参考链接:
Struts 2.5.12:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.12
Struts 2.3.34:
https://cwiki.apache.org/confl