近日，安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认高风险漏洞（漏洞编号S2-045，CNNVD编号：CNNVD-201703-152，CVE编号：cve-2017-5638）。

Apache Struts 2是世界上最流行的Java Web服务器框架之一，国内外均有大量厂商使用该框架。自2013年Apache Struts 2的远程代码执行漏洞风暴后，安恒就在持续关注Struts2漏洞。安恒信息的安全专家早在2014年就提醒使用Struts框架的网站管理员，时刻关注Struts官方修复方案，并对Struts官方修复内容进行审核。

本次发现Struts2存在远程代码执行的严重漏洞的安恒研究员，其去年就曾发现Struts2一个严重的远程代码执行漏洞（漏洞编号S2-029，CNNVD编号：CNNVD-201603-234，CVE-2016-0785），并于当年3月18日报告给Struts2官方获其确认和感谢。

当然，膜拜上神nike.zheng哥之前，赶紧上车，应急处理漏洞先！！！值此两会期间，抓紧抓紧！！！

本次（漏洞编号S2-045，CNNVD编号：CNNVD-201703-152，CVE编号：cve-2017-5638）漏洞影响范围极广，影响国内外绝大多数使用Struts2开发框架的站点。目前针对此漏洞的POC与EXP已经开始在互联网上流传！！！

受影响的软件版本：

Struts 2.3.5 - Struts 2.3.31

Struts 2.5 - Struts 2.5.10

漏洞危害：

攻击者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件（如开启dmi，debug等功能）以及启用任何插件，因此漏洞危害较为严重。

自查方式：

用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。

升级补丁地址：

Struts 2.3.32：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1 

临时缓解措施：

如用户不方便升级，可采取如下临时解决方案：

删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）

由于Struts2补丁修复或版本升级需要专业的软件开发团队协助，因此无法在短时间内快速处理。

为保障两会时期网站平稳运行，针对此次漏洞，安恒安全专家建议尽快更新Struts2版本或采用第三方防护措施如具备防护能力的WEB防火墙或云防护产品进行防范。并决定为所有受此漏洞影响网站开通玄武盾快速接入绿色通道。

玄武盾产品组决定凡是受该漏洞危害的站点均可免费接入半个月防护时间。可有效避免用户在线系统被入侵或业务中断，协助用户在Struts2补丁修复期间提供云端防护服务。

有需要的用户可联系玄武盾负责人进行免费接入。

接入范围：所有受该漏洞影响的站点

免费接入时间：即刻至3月底

免费接入客户热线：400-605-9110

应急联系人：

贾腾飞

18868949363

tengfei.jia@dbappsecurity.com.cn

毛润华

13067932392

wefo.mao@dbappsecurity.com.cn