而且一些自动化、Struts 2.3.15.1下载傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作... Apache Struts远程命令执行漏洞漏洞情况分析:该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(编号:CNVD-2013-25061,对应CVE-2013-1966)相比,技术评级相同且受影响版本更多。Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品,是应用最广泛的Web应用框架之一。它是WebWork和Struts社区合并后的产物。厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。
近期,我中心主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令
