CVE編號：

CVE-2016-3081

漏洞名稱：

Struts2 S2 – 032遠(yuǎn)程代碼執(zhí)行

漏洞發(fā)布日期：

2016.4.15

受影響的軟件及系統(tǒng)：

Struts2版本：Struts2 2.0.0 -2.3.28( 2.2.3（2.3.20.2和2.3.42.2不受影響）

漏洞概述：

Apache Struts 2是世界上最流行的Java Web服務(wù)器框架之一。然而近日國內(nèi)安全企業(yè)安恒信息的安全研究員Nike.zheng在Struts 2上發(fā)現(xiàn)存在高危安全漏洞（CVE-2016-3081,S02-32）,黑客可以利用漏洞直接執(zhí)行任意代碼，繞過文件限制，上傳文件，執(zhí)行遠(yuǎn)程命令，控制服務(wù)器，直接盜取用戶的所有資料，該漏洞廣泛影響所有struts版本。目前，Struts框架廣泛應(yīng)用于政府、公安、交通、金融行業(yè)和運(yùn)營商的網(wǎng)站建設(shè)，作為網(wǎng)站開發(fā)的底層模板使用，是應(yīng)用最廣泛的Web應(yīng)用框架之一。

漏洞影響范圍：

漏洞影響Struts 2.0.0 - 2.3.28 (除2.3.20.2和2.3.24.2以外)版本。

漏洞修復(fù)建議：

Apache Struts官方已發(fā)布了升級程序修復(fù)該漏洞，建議用戶升級至struts 2.3.20.2，2.3.24.2，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。未能及時(shí)升級的用戶也可通過如下參數(shù)設(shè)置關(guān)閉動(dòng)態(tài)方法調(diào)用功能來規(guī)避該漏洞的攻擊威脅。

如果需要漏洞檢測和修補(bǔ)請聯(lián)系青橙科技技術(shù)員幫助處理!