近日，国家信息安全漏洞库（CNNVD）接到安恒信息报送的有关Apache Struts2存在拒绝服务漏洞（CNNVD-201707-498）的情况。7月11日，Apache官方网站针对上述漏洞发布了安全公告（S2-049）。CNNVD对此进行了跟踪分析，情况如下：

一、 漏洞简介

       Apache Struts2是Apache基金会发布的一款实现了MVC模式的中间件软件，广泛应用于Web开发和大型网站建设。

       当开发人员在Struts2框架中，使用Spring AOP（如Spring Security）进行权限控制时，攻击者可在Struts2调用Spring Security AOP代理生成的Action时，通过ParametersInterceptor拦截器设置被代理的Action属性，从而导致被代理类里面某些动态设置的属性值被篡改，进而导致目标主机拒绝服务。

二、漏洞危害

       由于Struts2广泛应用于大型互联网企业、政府、金融机构等网站建设，影响范围较广。根据CNNVD数据统计，目前超过3万个网站使用了Struts2。

       该漏洞的利用要求在Struts2框架中使用Spring Security，并且认证成功的情况下，才能成功，利用条件较为苛刻。

三、修复措施

       目前，Apache官方已针对上述漏洞发布了升级补丁，部署Apache Struts2的单位，应及时检查所使用的Struts2版本是否在受影响范围内。如受影响，可升级至Struts2 2.5.12版本，链接如下：

       https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.12

       本报告由CNNVD技术支撑单位——杭州安恒信息技术有限公司提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD及时联系。

       联系方式: [email protected]