strust2 代码执行漏洞修复公告

近期云盾系统发现有部分云服务器存在Struts2代码执行漏洞，该漏洞可能会导致服务器被黑客入侵。基于用户权益的考虑，对这部分存在漏洞的用户发出短信通知进行预警。
为了您的云服务器安全着想，建议您在云盾控制台中开启高级安全防护功能，或者将strust升级到最新版本。


漏洞名称：strust2 代码执行漏洞

漏洞描述:

    Apache Struts2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本，其附加的ParametersInterceptor允许访问'class' 参数（该参数直接映射到getClass()方法），并允许控制ClassLoader。在具体的Web容器部署环境下（如：Tomcat），攻击者利用 Web容器下的Java Class对象及其属性参数（如：日志存储参数），可向服务器发起远程代码执行攻击，进而植入网站后门控制网站服务器主机。

修复方案：

    从官方网站http://struts.apache.org/ 下载最新版本升级，升级前请注意备份好您的服务器数据。