導讀今年4月份，Apache Stuts 2之上發現的S2-033遠程代碼執行漏洞，以迅雷不及掩耳之勢席卷而來。其利用代碼很快就在短時間內迅速傳播。而且官方針對這個高危漏洞的修復方案還是無效的。

?

悲劇的事情今天又再度發生了，這次發現的Struts 2新漏洞編號為CVE-2016-4438。 這是又一個很嚴重的遠程代碼執行漏洞：使用了REST插件的用戶就會遭遇該問題，有關該漏洞的詳情如下：

Apache Struts 2 ?S2-037 遠程代碼執行

漏洞編號：CVE-2016-4438

漏洞危害：造成遠程代碼執行

漏洞等級：高危

影響版本：Apache struts ?2.3.20 ?- ?2.3.28.1 版本使用了REST插件的用戶

修復方案：加入cleanupActionName方法進行過濾 或者 更新至官方struts2.3.29

FreeBuf百科：Struts 2

Apache Struts 2是世界上最流行的Java Web服務器框架之一。Struts 2是Struts的換代產品。在Struts 1和WebWork的技術基礎上，進行合并產生全新的Struts 2框架。其全新的Struts 2的體系結構與Struts 1的體系結構差別巨大。Struts 2以WebWork為核心，采用攔截器的機制處理用戶的請求，這樣的設計也使得業務邏輯控制器能夠與 ServletAPI完全脫離開，所以Struts 2可以理解為WebWork的更新產品。雖然從Struts 1到Struts 2有著太大的變化，但是相對于WebWork，Struts 2的變化很小。

FreeBuf將持續跟蹤報道該漏洞細節及后續動態，請關注。

在線檢測

目前網藤漏洞感知系統（ cvs.vulbox.com ）已支持該漏洞檢測。您可以 免費申請試用網藤漏洞感知服務。

原文來自：http://www.freebuf.com/news/106954.html

轉載于:https://www.cnblogs.com/linux130/p/5608289.html

總結

以上是生活随笔為你收集整理的Struts 2再曝远程代码执行漏洞S2-037的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。