安恒信息安全研究院 WEBIN 實驗室高級安全研究員 n、Nike Zheng 發現了著名 J2EE 框架——Struts2 存在遠程代碼執行的嚴重漏洞。目前 Struts2 官方已經確認漏洞（漏洞編號S2-045，CVE編號：cve-2017-5638），并定級為高危風險。

由于該漏洞影響范圍較廣（Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10），漏洞危害程度嚴重，可造成直接獲取應用系統所在服務器的控制權限。

這是什么意思？

黑客可以利用該漏洞通過瀏覽器在遠程服務器上執行任意系統命令，將會對受影響站點造成嚴重影響，引發數據泄露、網頁篡改、植入后門、成為肉雞等安全事件。

為什么說本次漏洞影響極大？

此前 s2-016 漏洞同樣危害非常嚴重，多數站點已經打補丁，而本次漏洞在 s2-016 補丁后的版本均受影響。

最重要的一點是：漏洞利用無任何條件限制，可繞過絕大多數防護設備的通用防護策略！

目前，安恒的建議是，相關行業提前做好該嚴重漏洞的應急準備工作。更新至 Struts 2.3.32 或者 Struts 2.5.10.1 或使用第三方的防護設備進行防護