據(jù)悉，世界知名開源軟件Struts 2 存在2個(gè)高危漏洞，這些漏洞可使黑客取得網(wǎng)站服務(wù)器的“最高權(quán)限”，從而使企業(yè)服務(wù)器變成黑客手中的“肉雞”。據(jù)相關(guān)網(wǎng)站報(bào)道，目前已知的騰訊、百度、阿里巴巴等7成大型互聯(lián)網(wǎng)公司及政府機(jī)關(guān)均將受到該漏洞影響。瑞星安全專家提醒廣大網(wǎng)站管理員，應(yīng)到Struts 2的官方網(wǎng)站下載最新的補(bǔ)丁程序(下載地址： http://struts.apache.org/download.cgi#struts23151)，盡快將Struts 2升級(jí)到最新的2.3.15.1版本，以避免可能遭遇的嚴(yán)重安全威脅。

安全專家介紹，本次曝出的2個(gè)漏洞是由于縮寫的導(dǎo)航和重定向前綴“action:”、 “redirect:”、 “redirectAction:”造成的。專家表示，由于這些參數(shù)前綴的內(nèi)容沒(méi)有被正確過(guò)濾，導(dǎo)致黑客可以通過(guò)漏洞執(zhí)行命令，獲取目標(biāo)服務(wù)器的信息，并進(jìn)一步取得服務(wù)器最高控制權(quán)。屆時(shí)，被攻擊網(wǎng)站的數(shù)據(jù)庫(kù)將面臨全面泄密的威脅，同時(shí)黑客還可以通過(guò)重定向漏洞的手段，對(duì)其他網(wǎng)民進(jìn)行釣魚攻擊或掛馬攻擊。

據(jù)了解， Struts是Apache基金會(huì)Jakarta項(xiàng)目組的一個(gè)開源項(xiàng)目，它采用MVC 模式，幫助java開發(fā)者利用J2EE開發(fā) Web 應(yīng)用。目前，Struts廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè)，并作為網(wǎng)站開發(fā)的底層模板使用。因此，專家再次提醒廣大網(wǎng)站管理員，盡快將Struts 2升級(jí)到最新的2.3.15.1版本。