近日，著名J2EE框架——Struts2再次爆出高危安全漏洞。目前，Apache官網(wǎng)已發(fā)布公告，確認(rèn)該漏洞并將此漏洞編號為S2-045，CVE編號為CVE-2017-5638，漏洞級別為高危，遠(yuǎn)程攻擊者利用該漏洞可直接取得網(wǎng)站服務(wù)器控制權(quán)。

Struts是Apache基金會Jakarta項(xiàng)目組的一個開源項(xiàng)目，它采用MVC模式，幫助JAVA開發(fā)者利用J2EE開發(fā)Web應(yīng)用。Struts已被廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè)，并作為網(wǎng)站開發(fā)的底層模板使用。目前，Struts2 S2-045攻擊利用代碼已經(jīng)公開，已導(dǎo)致互聯(lián)網(wǎng)上大規(guī)模攻擊的出現(xiàn)。利用該漏洞，黑客可通過瀏覽器在存在該漏洞的網(wǎng)站服務(wù)器上執(zhí)行任意系統(tǒng)命令、部署木馬，達(dá)到竊取網(wǎng)站數(shù)據(jù)、篡改網(wǎng)頁、植入后門、控制主機(jī)等惡意目的。該漏洞影響范圍極廣，涉及Struts 2.3.5 - Struts 2.3.31，Struts 2.5 - Struts 2.5.10多個版本。

針對該漏洞，賽寶信息安全研究中心給出以下修復(fù)建議：
1、將存在漏洞的Struts 2版本請升級至Struts2安全版本；
2、通過Servlet過濾器驗(yàn)證Content-Type值；
3、使用第三方安全防護(hù)設(shè)備進(jìn)行防護(hù)。