7月7日，Apache Struts官方发布最新安全公告，公告称Apache Structs2的strus1插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9791（S2-048）。  

该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中，通过构建不可信的输入实现远程命令攻击，存在安全风险。  

一．漏洞背景

Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts2.3.X系列的Showcase插件中演示Struts2整合Struts1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了Struts2 Struts1插件,则可能导致Struts2执行由外部输入的恶意攻击代码。  

二．影响版本

据了解，该漏洞的主要影响版本为Apache Struts Version:2.3.x，受影响的用户可以升级到2.5.10.1版本，或关闭Showcase插件进行规避。  

三、漏洞修复建议

1、根据业务情况，禁用关闭(删除)\struts-2.3.x\apps\struts2-showcase.war包。  

2、建议升级到最新版本2.5.10.1。  

  

咨询方式：  

联系人：王楠、李灏、赵少飞、巨腾飞  

联系电话：029-88319550-8017或8019