Apache Struts “Dynamic Method Invocation”机制任意代码执行漏洞

漏洞起因
设计错误
危险等级

影响系统
Apache Struts 2.0.0 – 2.3.15.1

不受影响系统

危害
远程攻击者可以利用漏洞可以WEB应用上下文执行任意代码。
CVSSv2:

攻击所需条件
攻击者必须访问Apache Struts。

漏洞信息
Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。
Apache Struts “Dynamic Method Invocation”机制存在一个未明安全漏洞,允许远程攻击者利用该漏洞以WEB应用上下文执行任意代码。”Dynamic Method Invocation”机制默认开启,仅提醒用户如果可能的情况下关闭此机制。

测试方法
安全建议

厂商解决方案
Apache Struts 2.3.15.2已经修改该漏洞,建议用户下载更新:
http://struts.apache.org
或下载如下厂商提供的安全补丁以修改该漏洞:
http://struts.apache.org/download.cgi#struts23152

漏洞提供者
security@struts.apache.org