近日，安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞，Struts2官方已经确认该漏洞(S2-045)，并定级为高危漏洞。　　因为Apache Struts2是一种国内使用非常广泛的Web应用开发框架，被大量的政府、金融以及大中型互联网公司所使用。并且，对于此漏洞的利用代码已经扩散，对网站安全构成非常高的现实威胁。
　　漏洞描述
　　该漏洞是Apache strut2 最新的一个漏洞，CVE编号CVE-2017-5638.(基于 Jakarta plugin插件的Struts远程代码执行漏洞)，该漏洞会造成RCE远程代码执行，恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令，可直接造成系统被控制。黑客通过Jakarta 文件上传插件实现远程利用该漏洞执行代码。
　　其风险等级为：高危


　　影响系统及版本：Struts 2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10
　　临时处理方案
　　* 修改启动虚拟机相关选项，修改Struts 2上传文件时的上传解析器为非Jakarta
　　Struts 2默认用Jakarta的Common-FileUpload的文件上传解析器，这是存在漏洞的，默认为以下配置
　　struts.multipart.parser=jakarta
　　指定其他类型的解析器，以使系统避免漏洞的影响：
　　指定使用COS的文件上传解析器
　　struts.multipart.parser=cos
　　或
　　指定使用Pell的文件上传解析器
　　struts.multipart.parser=pell
转载：http://sec.chinabyte.com/157/14087657.shtml