Struts2高危倾向组成大规模的信息激进将会影响有数网夷易近(可能无人可能必然……)运用倾向，黑客可建议短途侵略，轻则窃取网站数据信息，严正的可取患上网站效率器操作权，组成信息激进以及运行清静劫持。

据乌云当初把握的情景：Struts倾向影响重大，受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的运用工具开始泛起，填入地址可直接实施效率器命令，读取数据致使直接关机等操作...

如下是国家合计机收集应急技术处置调以及中间宣告的对于Apache Struts2 短途命令实施高危倾向以及凋谢重定向高危倾向的情景传递：

清静通告编号:CNTA-2013-0022

近期，我中间主理的国家信息清静倾向同享平台收录了Apache Struts存在一个短途命令实施倾向以及一个凋谢重定向倾向(编号：CNVD-2013-28972，对于应CVE-2013-2251; CNVD-2013-28979，对于应CVE-2013-2248)。运用倾向，可建议短途侵略，轻则窃取网站数据信息，严正的可取患上网站效率器操作权，组成信息激进以及运行清静劫持。现将无关情景传递如下：

倾向情景合成：

Struts2 是第二代基于Model-View-Controller (MVC)模子的java企业级web运用框架。它是WebWork以及Struts社区并吞后的产物。侵略者可能运用Struts运用框架的命令实施倾向，实施恶意Java代码，最终导致网站数据被窃取、网页被修正等严正服从。详细合成情景如下：

一、 Apache Struts短途命令实施倾向

由于Apache Struts2的action:、redirect:以及redirectAction:前缀参数在实现其功能的历程中运用了Ognl表白式，并将用户经由URL提交的内容拼接入Ognl表白式中，从而组成侵略者可能经由妄想恶意URL来实施恣意Java代码，进而可实施恣意命令。

二、 Apache Struts凋谢重定向倾向

Apache Struts 2DefaultActionMapper在处置长道路重定向参数前缀"redirect:"或者"redirectAction:"时存在凋谢重定向倾向，应承短途侵略者运用倾向操作"redirect:"或者"redirectAction:"后的信息，重定向URL到恣意位置。

倾向影响评估：

CNVD对于短途命令实施倾向(CNVD-2013-28972)以及凋谢重定向倾向(CNVD-2013-28979)的评级为“高危”，由于redirect:以及redirectAction:此两项前缀为Struts默认开启功能，因此ApacheStruts 2.3.15.1如下版本受到倾向影响。该倾向与在2012年对于我国境社交府以及紧张信息零星部份、企事业单元网站组成严正劫持的倾向(编号：CNVD-2013-25061，对于应CVE-2013-1966)比照，技术评级相同且受影响版本更多。

倾向处置建议：

厂商已经宣告Apache Struts 2.3.15.1以修复此清静倾向，建议Struts用户实时降级到最新版本。