最近网络安全抓的很严,上头要我们升级Struts2,而且我们那扫描漏洞的工具很强,非逼得我一定要将Struts2升级到2.5.10.1版本才行,没法,网上搜索了一番,再实战鼓捣了一阵,终于完成了任务。
一,漏洞。
2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。
二,升级所需要的Jar包。(替换后本人亲测可用!)
三,包路径的变更。
Jar包替换好以后,即使运行了也会报错,因为2.5版本已变更了包路径:
<filter>
<filter-name>struts2</filter-name>
<filter-class> org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter
</filter-class>
</filter>
然后web.xml里配成上面这样就对了。
四,程序启动后找不到action怎么办。
之前那篇博文讲了,Struts2配置文件里面,action要配上<allowed-methods>标签!