您的位置: 首页  >  文章  >  Struts 2.3.32升级到Struts2.3.35

Struts 2.3.32升级到Struts2.3.35

分类: 文章 2024-02-01 14:06:10

更新缘由:
北京时间8月22日13时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(cve-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace 值,并且其上层动作集配置没有或只有通配符命名空间值,可能构成 RCE攻击。第二,当使用没有 value和动作集的url标签时,并且其上层动作集配置没有或只有通配符命名空间值,也可能构成 RCE 攻击。

受影响的版本
l Struts version 2.3.0 – 2.3.34
l Struts version 2.5.0 – 2.5.16

不受影响的版本
l Struts version 2.3.35
l Struts version 2.5.17

解决方案:
请尽快升级至 Apache Struts version 2.3.35 或者 2.5.17。
相关链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-057
http://struts.apache.org/download.cgi

具体操作:

1.下载Struts2.3.35的jar包

Struts 2.3.32升级到Struts2.3.35

2.将下载好的jar包替换到项目中

Struts 2.3.32升级到Struts2.3.35

 

相关推荐