漏洞概述

攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞验证脚本尚未公开，厂商已发布升级版本修复此漏洞。

漏洞编号

CVE-2018-11776

漏洞等级

高危

受影响版本

目前，漏洞影响的产品版本包括但不限于：

Struts 2.3-2.3.34

Struts 2.5-2.5.16

解决方案

目前，Apache公司已发布了新版本（Struts 2.3.35或Struts 2.5.17）修复了该漏洞，建议用户及时升级最新版本：

https://cwiki.apache.org/confluence/display/WW/S2-057

暂无法及时更新的用户，可采用如下临时解决方案:

当上层动作配置中未设置或使用通配符namespace时，验证所有XML配置中的namespace，同时在JSP中验证所有url标签的value和action，确保上述namespace、value和action值均不可控。

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-057