Apache Struts被發現存在一個漏洞,可能允許Path Traversal攻擊和執行任意程式碼。如果Convention plugin已啟用,遠端攻擊者可以發送包含特製URL至目標系統攻擊這個漏洞。
成功利用這個漏洞的攻擊者可以導致洩漏資訊和在受影響的系統上執行任意程式碼。
用戶應升級Apache Struts至2.3.31或2.5.2以應對以上問題。更新版本可從以下網址下載:
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
http://struts.apache.org/docs/s2-042.html
https://www.hkcert.org/my_url/zh/alert/16102002
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6795