Struts（S2-048）高危远程命令执行漏洞

关于struts开源框架进入也出现了一个漏洞编号为S2-048（CVE-2017-9791）的高危漏洞，今天推火专家seo博客转载来自百度安全指数针对这次漏洞的描述，正文部分如下

struts是开源框架。使用Struts的目的是为了帮助我们减少在运用MVC设计模型来开发Web应用的时间。如果我们想混合使用Servlets和JSP的优点来建立可扩展的应用，struts是一个不错的选择。Struts 是Apache软件基金会（ASF）赞助的一个开源项目。它最初是Jakarta项目中的一个子项目，并在2004年3月成为ASF的顶级项目。它通过采用JavaServlet/JSP技术，实现了基于Java EEWeb应用的MVC设计模式的应用框架，是MVC经典设计模式中的一个经典产品。（百度百科）

漏洞描述

2017年7月7日，Apache Struts发布最新的安全公告，漏洞编号为S2-048（CVE-2017-9791），在Struts 2.3.x 系列的Showcase应用中演示Struts2整合Struts1的插件中存在一处任意代码执行漏洞。当你的应用使用了Struts2 Struts1的插件时，可能导致不受信任的输入传入到ActionMessage类中导致命令执行。

影响版本Struts 2.3.X

漏洞等级高危

修复建议

1、关闭Struts2 Struts1插件或者升级到最新无漏洞版本；

2、使用百度云加速WAF防火墙进行防御；

3、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

了解更多

https://cwiki.apache./confluence/display/WW/S2-048