導(dǎo)語：黑客可以利用該漏洞通過瀏覽器在遠(yuǎn)程服務(wù)器上執(zhí)行任意系統(tǒng)命令，將會(huì)對(duì)受影響站點(diǎn)造成嚴(yán)重影響，引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。

最近，雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))從安恒了解到，安恒信息安全研究院 WEBIN 實(shí)驗(yàn)室高級(jí)安全研究員 n、Nike Zheng 發(fā)現(xiàn)了著名 J2EE 框架——Struts2 存在遠(yuǎn)程代碼執(zhí)行的嚴(yán)重漏洞。目前 Struts2 官方已經(jīng)確認(rèn)漏洞（漏洞編號(hào)S2-045，CVE編號(hào)：cve-2017-5638），并定級(jí)為高危風(fēng)險(xiǎn)。

由于該漏洞影響范圍較廣（Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10），漏洞危害程度嚴(yán)重，可造成直接獲取應(yīng)用系統(tǒng)所在服務(wù)器的控制權(quán)限。

這是什么意思？

黑客可以利用該漏洞通過瀏覽器在遠(yuǎn)程服務(wù)器上執(zhí)行任意系統(tǒng)命令，將會(huì)對(duì)受影響站點(diǎn)造成嚴(yán)重影響，引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。

為什么說本次漏洞影響極大？

此前 s2-016 漏洞同樣危害非常嚴(yán)重，多數(shù)站點(diǎn)已經(jīng)打補(bǔ)丁，而本次漏洞在 s2-016 補(bǔ)丁后的版本均受影響。

最重要的一點(diǎn)是：漏洞利用無任何條件限制，可繞過絕大多數(shù)防護(hù)設(shè)備的通用防護(hù)策略！

目前，安恒的建議是，相關(guān)行業(yè)提前做好該嚴(yán)重漏洞的應(yīng)急準(zhǔn)備工作。更新至 Struts 2.3.32 或者 Struts 2.5.10.1 或使用第三方的防護(hù)設(shè)備進(jìn)行防護(hù)。