Strtuts2.3.15 bug ,可以远程执行命令

　　

在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞^[1]  ，主要问题如下：

1. 可远程执行服务器脚本代码^[2] 
   用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接，command goes here可以换成是破坏脚本的路径和参数，比如fdisk -f等，造成破环系统无法运行的目的。
2. 重定向漏洞^[3] 
   用户可以构造如知名网站淘宝的重定向连接，形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站，在界面上让其进行登陆用以获取用户的密码。\\\

      3.struts2 动态url漏洞(默认不开启，如果开启会被利用来，执行远程命令，导致系统运行。

 

      4.struts2标签漏洞，多次执行会导致出现漏洞

 

      解决办法下载最新版 2.3.14 jar 更新即可