2018年8月22日，阿裏雲雲盾應急響應中(zhōng)心監測到Apache官方發布了安全更新，披露了一(yī)個遠程代碼執行漏洞S2-057。

漏洞描述
定義XML配置namespace值爲通配符(“/*”)，或在上層action中(zhōng)namespace值缺省時可能會導緻web應用遠程代碼執行漏洞。

如下(xià)兩種配置存在漏洞：

     
        a2.action
     
 

或：

  /WEB-INF/help.jsp

參考鏈接：https://cwiki.apache.org/confluence/display/WW/S2-057

官方評級
CVE-2018-11776：嚴重

影響範圍
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16

安全建議
升級至最新版本：升級至版本2.3.35或2.5.17
升級鏈接：https://struts.apache.org/download.cgi