一、概要

今日Apache官方公布一个Struts 2 RCE（远程代码执行）漏洞，在定义XML配置时如果namespace值未设置且上层动作配置（Action Configuration）中未设置或用通配符namespace时可能会导致远程代码执行；url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。

利用漏洞：CVE-2018-11776

参考链接：https://cwiki.apache.org/confluence/display/WW/S2-057

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

Struts 2.3 - Struts 2.3.34，Struts 2.5 - Struts 2.5.16确认受影响；

其余版本可能也受影响。

四、安全建议

官方解决方案：升级至版本2.3.35或2.5.17。

升级链接：https://struts.apache.org/download.cgi#struts2517

注意：修复漏洞前请将资料备份，并进行充分测试。