近日,国家信息安全漏洞共享平台(CNVD)发布了 Apache Struts 2 devMode远程代码执行漏洞(CNVD-2016-04656)。该漏洞产生的原因是由于开启了Struts2 devMode模式,且Apache Struts2官方以往修复措施未完善(溯及S2-008漏洞),远程攻击者利用该漏洞可执行任意命令,进而控制服务器主机。
受漏洞影响的版本有Struts 2.1.0——2.5.1,且开启devMode模式的用户。
修复建议:用户可关闭devMode模式(在配置文件中将devMode设置为false)。可参照如下进行修改:
将struts.properties中的devMode设置为false,或是在struts.xml中添加如下代码:<constant name=struts.devMode value=false />。
请各单位尽快排查是否在用相关版本Apache Struts2,如有使用,应及时修复。