根据国家互联网应急中心（http://www.cert.org.cn）公告，Apache struts2存在S2-045远程代码执行漏洞（CNVD-2017-02474，对应CVE-2017-5638），远程攻击者利用该漏洞可直接取得网站服务器控制权。Apache Struts是一款用于创建企业级Java Web应用的开源框架，使用范围及其广泛，存在此漏洞的网站服务器将面临重大安全隐患。CNVD对漏洞的综合评级均为“高危”。 信息化处提醒用户及时检查所辖网站并采取相应措施防范。

影响范围：受该漏洞影响的Apache struts2版本为：Struts2.3.5-Struts2.3.31和Struts2.5-Struts2.5.10。

解决方案： Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipart parser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。

参考链接：

https://cwiki.apache.org/confluence/display/WW/S2-045

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

信息化处

2017年3月8日