服务公告

全部公告 > 安全公告 > Apache Struts2开发模式漏洞安全预警

Apache Struts2开发模式漏洞安全预警

2016-07-13

一、概要

Apache Struts2最近暴出高危漏洞,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

二、漏洞级别

漏洞风险级别为高危。

三、影响范围

影响Struts 2.1.0--2.5.1版本。

四、验证方法

检查配置文件中开发模式配置项:struts.devMode=true。如果struts.devMode值为true,即已开启开发模式。

配置文件路径:

1)查看WEB-INF/classes/struts.xml文件,看是否有这一项配置;

2)如果没有,可以查看struts的默认配置文件:WEB-INF/classes/struts.properties

五、安全建议

关闭开发模式。



华为云服务客户服务中心
2016年7月13日