【漏洞概要】

 2018年8月22日，Apache披露旗下产品Struts 2可能存在远程命令执行漏洞的安全通告（CVE-2018-11776），该漏洞涉及到多个版本Struts 2，请用户立即自查使用Struts 2产品并立即安排升级修复。

【攻击危害】

  在满足某些配置的条件下可以进行远程命令执行攻击，进而控制服务器。

【漏洞等级】

  高危

【影响范围】

  Struts 2.3- Struts 2.3.34

  Struts 2.5 - Struts 2.5.16

  已停止维护版本可能也受影响

【修复指引】

  Struts 2.3- Struts 2.3.34 升级至  Struts 2.3.35

  Struts 2.5 - Struts 2.5.16 升级至   Struts 2.5.17

  注： Struts 2.3.35和Struts 2.5.17仅包含安全补丁，不会出现向后兼容问题。

【参考资料】

  https://cwiki.apache.org/confluence/display/WW/S2-057 

  注意：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。 

平安云

2018年8月22日