最新!Apache Struts 又爆安全漏洞(危害程度特别大)
Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。
很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。
具体就不多说了,可以看栈长之前分享的:Struts2 为什么被淘汰?
漏洞说明
攻击者可以利用文件上传漏洞,覆盖访问权限,以造成服务器拒绝服务。文件上传又有漏洞,这个真是牛皮癣啊,一直好不了。
影响范围:所有使用 Struts 2 的用户
- 危害等级:中
- 危害程度:拒绝服务
- 受影响版本:2.0.0 ~ 2.5.20
- 厂商:Apache
- 发布时间:2020-08-11
- 报告者:Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
- CVE编号:CVE-2019-0233
漏洞修复
目前 Apache 已经在官网发布了漏洞修复方案,用户可以升级到 Struts 2.5.22+ 以修复漏洞。
如果升级版本太麻烦,实际情况不允许,也可以在 struts-default.xml 配置文件中 struts.excludedPackageNames 标签添加 java.io. 和 java.nio. 以排除这两个包名。
漏洞详情及修复链接:
尽快升级保平安吧!
也欢迎大家转发给还在用 Struts 2 的小伙伴们!
推荐去我的博客阅读更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
觉得不错,别忘了点赞+转发哦!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· winform 绘制太阳,地球,月球 运作规律
· AI与.NET技术实操系列(五):向量存储与相似性搜索在 .NET 中的实现
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· 上周热点回顾(3.3-3.9)
· AI 智能体引爆开源社区「GitHub 热点速览」