UCloud-201808-002:Apache Struts2远程代码执行漏洞安全预警
Apache Struts发布安全公告S2-057,当Struts.xml文件将struts.mapper.alwaysSelectFullNamespace该选项设置为true,并且package标签页以及result的param标签页的namespace值的属性缺失时可造成namespace被控制,namespace被带入ognl语句执行,产生远程代码执行漏洞。
Apache Struts 2.3 - 2.3.34
Apache Struts 2.5 - 2.5.16
1.升级到官方发布的最新版本进行修复:
Apache Struts 2.3.35
Apache Struts 2.5.17
2.使用web应用防火墙UWAF进行安全防护;