Apache Struts被发现存在一个漏洞,可能允许Path Traversal攻击和执行任意程序代码。如果Convention plugin已启用,远程攻击者可以发送包含特制URL至目标系统攻击这个漏洞。
成功利用这个漏洞的攻击者可以导致泄漏信息和在受影响的系统上执行任意程序代码。
用户应升级Apache Struts至2.3.31或2.5.2以应对以上问题。更新版本可从以下网址下载:
受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
http://struts.apache.org/docs/s2-042.html
https://www.hkcert.org/my_url/zh/alert/16102002
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6795