站长百科 | 数字化技能提升教程 数字化时代生存宝典 
Struts2昨日被曝出远程执行漏洞。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作...
国内知名安全漏洞平台@乌云网站显示,从昨日开始,收到国内大量知名站点因使用Struts应用框架产生的漏洞,涉及网站包括库巴网、百度、中国联通分站、易宝支付、土豆网、京东商城、1号店、百合网、网易、搜狐、淘宝等。目前影响网站仍在增长中。而且漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。
Struts通过采用JavaServlet/JSP技术,实现了基于JavaEEWeb应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品,是应用最广泛的Web应用框架之一。
白帽子向乌云漏洞报告平台提交的漏洞列表:
目前,官方已经发布高危安全漏洞补丁升级,下载地址:http://struts.apache.org/download.cgi#struts23151,升级修补了多个安全漏洞,其中包括这个远程任意代码的高危安全漏洞。
来源:站长百科
