由安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现的Struts2远程代码执行漏洞，目前已被确认为高危漏洞。

那这个漏洞到底是什么样的？

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

Struts2框架存在多个远程代码执行（S2-005、S2-009、S2-013、S2-016、S2-019、S2-020、S2-037、devmode）漏洞，，恶意攻击者可利用漏洞直接获取应用系统的Webshell，甚至获取操作系统以及数据库的权限。

漏洞编号：S2-045

CVE编号：CVE-2017-5638

漏洞类型：远程代码执行

漏洞级别：高危

漏洞风险：黑客通过利用漏洞可以实现远程命令执行。

影响版本：struts2.3.5 – struts2.3.31 , struts2.5 – struts2.5.10

该漏洞影响范围较广（Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10），漏洞危害程度严重，可造成直接获取应用系统所在服务器的控制权限。

这是什么意思呢？

黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令，将会对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

为什么这次漏洞如此严重？

漏洞利用无任何条件限制，可绕过绝大多数的防护设备的通用防护策略！并且此前 s2-016 漏洞同样危害非常严重（去年京东信息泄露12G用户数据泄露就源自2013年Struts 2漏洞CVE-2013-2251），多数站点已经打补丁，而本次漏洞在 s2-016 补丁后的版本均受影响。

国外靶场测试结果！

顺便找了个国外的靶机做了测试. 确认可用啊 ,又是一阵血雨腥风 !

截图如下:

whoami

如何自查？

用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。

如何防护呢？

如果用户正在使用受影响版本的插件：

l   建议用户升级到未受影响的版本（Struts 2.3.32或Struts 2.5.10.1），建议在升级前做好数据备份。

l   改用其他Multipart parser应用。

升级补丁地址：

Struts 2.3.32：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1 

合天智汇声明：

本安全公告仅用来描述可能存在的安全问题，合天智汇不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，合天智汇以及安全公告作者不为此承担任何责任。合天智汇拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经合天智汇允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。