最近，国家信息安全漏洞共享平台(CNVD)包括Venusstar提交的Apachestruts2devMode远程代码执行漏洞(CNVD-2016-04656)。造成此漏洞的原因是，已打开devMode模式，并且ApacheStruts2以前的官方修复措施并不完美(回到S2-008漏洞)。远程攻击者可以利用此漏洞执行任意命令，然后控制服务器主机。

1.漏洞分析

Struts2是基于模型-视图-控制器(MVC)模型的第二代Java企业级Web应用程序框架，已成为国内外流行的容器软件中间件。为了方便开发人员调试程序，Struts2提供了devMode模式，该模式可以轻松查看程序错误和日志等信息。

根据CNVD技术组-VenusStarCompany成员单位提供的分析，在2.3.28版及更低版本中，打开devMode时，DebuggingInterceptor类将检测所提交的调试参数是否包括三个MODE控制台，命令，浏览器。通过对代码的分析，发现两个MODE命令和浏览器都调用stack.findValue方法，该方法可以构造要作为ognl表达式执行的特定数据，从而使ApacheStrutsS2-008漏洞继续版本2.3。28岁ApacheStruts在2.3.28版之后正式修改了代码，并加强了对OGNL链表达式的过滤。通过研究其安全机制，VenusStarCompany发现了新的旁路缺陷，可以执行远程命令来完成HTTP响应。明显。

CNVD对漏洞的综合评级为“高风险”。

2，漏洞范围

受受漏洞影响的Struts2.1.0--2.5.1版本的用户并启用了devMode模式。根据CNVD的抽样测试结果，受影响的ApacheStruts2服务器的比例约为3%-4%。目前，一些私有漏洞报告平台已报告了相关漏洞的案例。根据CNVD的评估，已经有专业人士了解基本原理，并且可以迅速使用(制作攻击利用代码)来发起大规模检测或攻击。

3.错误修复建议

根据ApacheStruts2的官方反馈，没有为此风险提供新的安全公告号，并且仅建议用户关闭devMode模式(在配置文件中将devMode设置为false)。用户可以参考以下内容进行修改：

将struts.properties中的devMode设置为false，或在struts.xml中添加以下代码：

标签:远程执行代码漏洞