Apache Struts被发现存在一个漏洞,可能允许执行任意程序代码。如果Dynamic Method Invocation(DMI)已启用,远程攻击者可以发送恶意字符串至目标服务器攻击这个漏洞并执行任意程序代码。
有报告指攻击代码已被公开及这个漏洞正被利用作针对性攻击。
成功利用这个漏洞的攻击者可以在受影响的系统上执行任意程序代码。
用户应升级Apache Struts至2.3.20.3、2.3.24.3或2.3.28.1以应对以上问题。更新版本可从以下网址下载:
https://struts.apache.org/downloads.html
如果可行,建议应停止使用Dynamic Method Invocation (DMI)。
受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
http://struts.apache.org/docs/s2-032.html
https://www.hkcert.org/my_url/zh/alert/16042801
http://www.cert.org.cn/publish/main/9/2016/20160427071233907846865/20160427071233907846865_.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081