Apache Struts被發現存在一個漏洞,可能允許執行任意程式碼。如果Dynamic Method Invocation(DMI)已啟用,遠端攻擊者可以發送惡意字串至目標伺服器攻擊這個漏洞並執行任意程式碼。
有報告指攻擊代碼已被公開及這個漏洞正被利用作針對性攻擊。
成功利用這個漏洞的攻擊者可以在受影響的系統上執行任意程式碼。
用戶應升級Apache Struts至2.3.20.3、2.3.24.3或2.3.28.1以應對以上問題。更新版本可從以下網址下載:
https://struts.apache.org/downloads.html
如果可行,建議應停止使用Dynamic Method Invocation (DMI)。
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
http://struts.apache.org/docs/s2-032.html
https://www.hkcert.org/my_url/zh/alert/16042801
http://www.cert.org.cn/publish/main/9/2016/20160427071233907846865/20160427071233907846865_.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081