2017年09月05日，Struts2 9点官方网站公布最新一个远程命令执行漏洞。该漏洞可能导致攻击者提升权限，控制服务器。由于Struts2使用广泛，国内政府，大型企业均有使用该框架。请各系统管理员及时查看相关漏洞情况，及时升级最新版本或做好防护措施。

漏洞描述

当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例，可能导致在处理XML时造成远程代码执行漏洞。

漏洞等级

高危漏洞。

影响版本

Struts 2.5 - Struts 2.5.12。

解决方案

1、升级到Apache Struts版本2.5.13。

2、在不使用Struts REST插件的情况下，可以删除，或仅限于服务器普通页面和JSON：

可在配置文件中添加如下配置: <constant name="struts.action.extension" value="xhtml,,json" />。

参考链接：https://cwiki.apache.org/confluence/display/WW/S2-052