Jarett's Blog

最新的Struct2漏洞请看：http://www.nigesb.com/struts2-remote-command-execution.html

估计都是老东西，丢上来存档吧，太久不更新，会被降权的，擦。

Struts 框架是 Apache 基金会 Jakarta  项目组的一个 Open Source 项目，
它采用MVC 模式，帮助 java  开发者利用 J2EE 开发 Web 应用。Struts
框架广泛应用于运营商、政府、金融行业的门户网站建设，作为网站开发的
底层模板使用，目前大量开发者利用 j2ee 开发 web 应用的时候都会利用这
个框架。

Apache Struts2 框架在 2010 年被发现存在一个严重命令执行漏洞
（CVE-2010-1870）。近期，一系列针对此漏洞的自动化检测、利用工具在网
络上公开，大大降低了利用难度。目前大量使用Struts2 框架编写的网站被
发现受此漏洞影响，并已在互联网上公开，这可能造成这些网站被控制、敏感
数据被泄漏。

由于国内仍然有大量的运营商、政府、金融机构的网站还在使用低版本的
Struts2 框架，因而面临巨大的安全风险，强烈建议正在使用Struts2框架的
网站管理员检查是否受此漏洞影响并及时修补。

补丁下载地址：
厂商已经在Struts 2.2.0版本中修复了这个安全问题。由于struts 2.2.0仍然存在其他安全问题，建议用户请尽快升级到当前最新版本2.3.4。

厂商主页：
http://struts.apache.org/
Apache提供的补丁链接：
http://svn.apache.org/viewvc?view=revision&revision=956389

利用工具下载地址：

http://115.com/file/an7tjbfb