災難日：中國互聯網慘遭Struts2高危漏洞摧殘

Struts是Apache基金會Jakarta項目組的一個開源項目，Struts通過采用Java Servlet/JSP技術，實現了基于Java EE Web應用的Model-View-Controller（MVC）設計模式的應用框架，是MVC經典設計模式中的一個經典產品。目前，Struts廣泛 應用于大型互聯網企業、政府、金融機構等網站建設，并作為網站開發的底層模板使用，是應用最廣泛的Web應用框架之一。

近日，Struts2曝出2個高危安全漏洞，一個是使用縮寫的導航參數前綴時的遠程代碼執行漏洞，另一個是使用縮寫的重定向參數前綴時的開放式重定向漏洞。這些漏洞可使黑客取得網站服務器的“最高權限”，從而使企業服務器變成黑客手中的“肉雞”。

Apache Struts團隊已發布了最新的Struts 2.3.15.1，修復了上述漏洞，建議采用Struts 2.0至Struts 2.3的網站開發者盡快升級至最新版。

據烏云平臺漏洞報告，淘寶、京東、騰訊等大型互聯網廠商均受此影響，而且漏洞利用代碼已經被強化，可直接通過瀏覽器的提交對服務器進行任意操作并獲取敏感 內容。Struts漏洞影響巨大，受影響站點以電商、銀行、門戶、政府居多，而且一些自動化、傻瓜化的利用工具開始出現，填入地址可直接執行服務器命令， 讀取數據甚至直接關機等操作。

災難日：中國互聯網慘遭Struts2高危漏洞摧殘


最后再次提醒廣大網站管理員，盡快將Struts 2升級到最新的2.3.15.1版本。

來自: 驅動之家