Struts2 远程代码执行漏洞 安全狗提醒及时修复

近日，在Struts 2上发现了一个严重的远程代码执行漏洞（CVE-2016-3081)。在用户开启动态方法调用的情况下，会被攻击者实现远程代码执行攻击。漏洞利用代码已经开始流传。

2016年4月21日Struts2官方发布了两个CVE，其中就有CVE-2016-3081，且官方评级为高。据悉，国内开启这个功能的网站不在少数，因此这个“Possible Remote Code Execution”漏洞的被打的可能性很高。

Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开，所以Struts 2可以理解为WebWork的更新产品。

有消息指出，该漏洞可能影响政府、银行、证券、保险等行业，安全狗提醒各行业要提前做好安全应急与防范措施！目前官方已经推出2.3.20.2、2.3.24.2和2.3.28.1修复这个问题，提醒大家针对自己所使用的版本进行升级。下载地址：https://struts.apache.org/download.cgi#struts23281

同时，漏洞爆发后，安全狗研究部门也针对该漏洞进行了测试，并及时修复，用户们可放心使用安全狗相关产品。

（整理）