本文共 700 字，大约阅读时间需要 2 分钟。

Struts 是一个开源的 Java Web MVC 框架，也是 Apache 软件基金会的一个开源项目，包括 Struts 1 和 Struts 2，Struts 1 早已被淘汰，现在市面上说的 Struts 主要是指 Struts 2。

很不幸，现在 Struts 2 也是被淘汰的框架了，但也有很多老项目也还是在用 Struts 2 的，所有还在用的小伙伴们需要关注一下。

具体就不多说了，可以看栈长之前分享的：

漏洞说明

攻击者可以利用文件上传漏洞，覆盖访问权限，以造成服务器拒绝服务。文件上传又有漏洞，这个真是牛皮癣啊，一直好不了。

• 危害等级：中
• 危害程度：拒绝服务
• 受影响版本：2.0.0 ~ 2.5.20
• 厂商：Apache
• 发布时间：2020-08-11
• 报告者：Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
• CVE编号：CVE-2019-0233

漏洞修复

目前 Apache 已经在官网发布了漏洞修复方案，用户可以升级到 Struts 2.5.22+ 以修复漏洞。

如果升级版本太麻烦，实际情况不允许，也可以在 struts-default.xml 配置文件中 struts.excludedPackageNames 标签添加 java.io. 和 java.nio. 以排除这两个包名。

漏洞详情及修复链接：

尽快升级保平安吧！

也欢迎大家转发给还在用 Struts 2 的小伙伴们！

推荐去我的博客阅读更多：

1.

2.

3.

4.

觉得不错，别忘了点赞+转发哦！