最新！Apache Struts 又爆安全漏洞（危害程度特别大）

共 1176字，需浏览 3分钟

·

2020-08-17 21:30

Java技术栈

www.javastack.cn

关注阅读更多优质文章

Struts 是一个开源的 Java Web MVC 框架，也是 Apache 软件基金会的一个开源项目，包括 Struts 1 和 Struts 2，Struts 1 早已被淘汰，现在市面上说的 Struts 主要是指 Struts 2。

很不幸，现在 Struts 2 也是被淘汰的框架了，但也有很多老项目也还是在用 Struts 2 的，所有还在用的小伙伴们需要关注一下。具体就不多说了，可以看栈长之前分享的：Struts2 为什么被淘汰？

漏洞说明

攻击者可以利用文件上传漏洞，覆盖访问权限，以造成服务器拒绝服务。文件上传又有漏洞，这个真是牛皮癣啊，一直好不了。

影响范围：所有使用 Struts 2 的用户
危害等级：中
危害程度：拒绝服务
受影响版本：2.0.0 ~ 2.5.20
厂商：Apache
发布时间：2020-08-11
报告者：Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
CVE编号：CVE-2019-0233

漏洞修复

目前 Apache 已经在官网发布了漏洞修复方案，用户可以升级到 Struts 2.5.22+ 以修复漏洞。

如果升级版本太麻烦，实际情况不允许，也可以在 struts-default.xml 配置文件中 struts.excludedPackageNames 标签添加 java.io. 和 java.nio. 以排除这两个包名。

漏洞详情及修复链接：

“
https://cwiki.apache.org/confluence/display/ww/s2-060
”

尽快升级保平安吧！

也欢迎大家转发给还在用 Struts 2 的小伙伴们！

最近热文：

1、重磅！《Java开发手册（嵩山版）》最新发布

2、打破你的认知！Java空指针居然还能这样玩

3、盘点 35 个 Apache 顶级项目，我拜服了…

4、Spring Boot 太狠了，一次发布 3 个版本！

5、Spring Boot 如何快速集成 Redis？

6、盘点 6 个被淘汰的 Java 技术，曾经风光过！

7、Spring Boot Redis 实现分布式锁，真香！

8、Spring Boot 干掉了 Maven 拥抱 Gradle！

9、公司来了个新同事不会用 Lombok！

10、同事写了个隐藏 bug，我排查了 3 天！

扫码关注Java技术栈公众号阅读更多干货。

点击「阅读原文」获取面试题大全～

浏览 23

点赞

收藏

分享

举报

评论

图片

表情

Apache Struts爆最新漏洞

后门 | Nacos 被爆严重安全漏洞

JAVA架构日记

Apache Struts重现严重漏洞，你升级了吗？

Struts ConsoleEclipse的Struts插件

Struts Console是一个免费的单独的Java Swing应用程序可以用来开发与管理基于St

Struts ConsoleEclipse的Struts插件

Struts ConsoleEclipse的Struts插件

StrutsConsole是一个免费的单独的JavaSwing应用程序可以用来开发与管理基于Strust的应用程序.利用StrutsConsole可以可视化编辑JSP标签库,Struts,Tiles与

Struts ConsoleEclipse的Struts插件

Struts-Wrapper 是 Struts Web框架的扩展，用来封装 Struts 的业务逻辑

Cocoapods 爆安全漏洞，看看是否影响到你

Struts Menu 是一个用来生成页面导航菜单的标签库，需要 struts 的支持。快速安装：D

StrutsMenu是一个用来生成页面导航菜单的标签库，需要struts的支持。快速安装：Downloadthelatestreleaseofstruts-menu.Unzipittoalocaldi

Apache老母鸡又下蛋？一文俯瞰Apache Superset

程序源代码

点赞

收藏

分享

举报