【51CTO.com原創(chuàng)稿件】近日，安恒信息安全研究院WEBIN實驗室高級安全研究員nike.zheng發(fā)現(xiàn)著名J2EE框架——Struts2存在遠程代碼執(zhí)行的嚴重漏洞。目前Struts2官方已經(jīng)確認漏洞(漏洞編號S2-045，CVE編號：cve-2017-5638)，并定級為高危風險。

[[184809]]

據(jù)悉，該漏洞影響范圍極廣，涉及Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10多個版本。黑客可以利用該漏洞通過瀏覽器在遠程服務(wù)器上執(zhí)行任意系統(tǒng)命令，將會對受影響站點造成嚴重影響，引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。

另據(jù)安恒信息安全研究院介紹，漏洞的危害程度極其嚴重影響極大，就算是此前爆出過危害非常嚴重s2-016漏洞，在已打補丁后的版本均受本次漏洞的影響。

由于該漏洞漏洞利用無任何條件限制，可繞過絕大多數(shù)的防護設(shè)備的通用防護策略，直接獲取應(yīng)用系統(tǒng)所在服務(wù)器的控制權(quán)限。安恒信息安全專家建議提前做好該嚴重漏洞的應(yīng)急準備工作，可將版本更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防護設(shè)備進行防護。

此外，安恒信息官方表示，安恒信息WAF、玄武盾、APT預警平臺等各防護、監(jiān)測類的相關(guān)產(chǎn)品已提前針對該漏洞提供更新策略，并已做好該漏洞相關(guān)的各項應(yīng)對準備工作。并且，鑒于此漏洞影響范圍極廣，危害嚴重，為保障兩會時期網(wǎng)站平穩(wěn)運行，安恒信息決定為所有受此漏洞影響網(wǎng)站開通玄武盾快速接入綠色通道。網(wǎng)站負責人可以致電安恒信息7*24小時客服熱線，在客服人員的指導下快速接入網(wǎng)站，立即啟動防護。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】