Apache Struts 漏洞描述

某知名的安全組織向Apache Struts官方反饋了該漏洞的詳細細節，其中就包括了之前版本出現的漏洞都是因為commons fileupload上傳庫而導致產生的口袋，目前的apache版本都在使用低版本的commons fileupload庫，大多數都默認使用，導致***者可以利用上傳漏洞，進行遠程代碼執行，提權，***服務器。Apache Struts 2.5.10以上的高版本，不受此次漏洞的影響。

Apache Struts漏洞級別 嚴重

Apache Struts 安全建議：

升級Apache Struts版本的到2.5.18以上的版本

升級Struts的上傳庫，commons fileupload的版本到最新版本1.3.3，Struts commons

fileupload

fileupload/download_fileupload.cgi

第三個安全建議：有些項目的開發與設計，可能牽扯到兼容性的問題，導致Apache Struts 不能直接升級到最新版本，這樣的情況需要客戶直接在Apache Struts 配置文件裏修改安全參數，

參數如下：

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

如果對Apache Struts不是太熟悉的話，也可以直接使用CDN的防護系統，在CDN端做安全過濾，檢測到Apache Struts***的時候，直接CDN前端攔截，前提是保障服務器的源IP不被暴露，防止***者利用host域名綁定來直接***服務器。

Apache Struts最新漏洞 遠程代碼執行漏洞預警 2018年11月08日