漏洞概述：

2017年7月7日，Apache Struts发布最新的安全公告，Apache Struts2的struts1插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9791（S2-048）。攻击者可以构造恶意的字段值通过该插件执行远程代码。 

相关链接如下：

https://cwiki.apache.org/confluence/display/WW/S2-048

漏洞类型： 

远程代码执行漏洞

危险等级： 

高危

影响版本：

Apache Struts Version： 2.3.x

修复建议：

1.升级Struts到2.5.10.1最新版本。

2.避免使用struts2-struts1-plugin插件，非必要的情况下可以将struts2-struts1-plugin-2.3.x.jar文件从 “/WEB-INF/lib”目录中直接删除。

3.如果使用该插件，避免使用拼接的方式将原始消息直接传递给ActionMessage。

如下所示：

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

不要使用如下的方式：

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));

4.Showcase插件存在安全隐患，请勿将其部署在不安全的网络环境中，避免服务器遭受攻击。