• Struts 配置中的 alwaysSelectFullNamespace 标志设置为 true 。
• Struts 配置文件包含 “action” 或 “url” 标记，该标记未指定可选的 namespace 属性或指定通配符命名空间。

据悉，使用 Apache Struts 2.3~2.3.34 和 2.5~2.5.16 版本，以及一些已经停止支持的 Struts 版本的所有应用都可能容易受此漏洞攻击，Apache Struts 团队在收到反馈后，已于前两天发布的 2.3.35 和 2.5.17 中进行了修复，并建议用户尽快升级。

这不是 Semmle 安全研究团队第一次报告 Apache Struts 的高危 RCE 漏洞。不到一年前，该团队披露了在 Apache Struts 中类似的远程执行代码漏洞（CVE-2017-9805）。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。