近日，Struts2 被曝出两个高危安全漏洞，影响的版本Struts 2.0.0 – Struts 2.3.15的 Struts2 全系版本，国内政府、金融、运营商及各大互联网公司的网站已受影响。

一个是使用缩写的导航参数前缀时的远程代码执行漏洞，另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”，从而使企业服务器变成黑客手中的“肉鸡”。

Struts漏洞影响巨大，受影响站点以电商、银行、门户、政府居多，而且一些自动化、傻瓜化的利用工具开始出现，填入地址可直接执行服务器命令，读取数据甚至直接关机等操作。据乌云平台漏洞报告，淘宝、京东、腾讯等大型互联网厂商均受此影响。
[Read more…]