【漏洞公告】Struts 2 远程命令执行漏洞

漏洞描述

Apache Struts 是一个免费的开源 MVC 框架，用于创建 Java Web 应用程序。

在 Struts 2 开启动态方法调用（Dynamic Method Invocation）的情况下，攻击者可借助 REST 插件，对 Struts 2 发起远程代码执行攻击。

受影响范围

Struts 2.3.20 - 2.3.28

修复方案

• 使用云盾 Web 应用防火墙 拦截此漏洞的攻击代码。

• 在 struts.xml 中，将 struts.enable.DynamicMethodInvocation 设置为 False 。

• 通过 官方网站，将 Struts 升级到 2.5 或以上。