百度站长平台预警：ApacheStruts2高危漏洞来袭

亲爱的站长朋友：

大家好，昨日互联网遭受了一场漏洞风波——Apache Struts2高危漏洞，影响到Struts 2.0.0 -Struts 2.3.15的所有版本。包括国内很多知名网站在内的大量网站受到此漏洞不同程度的影响。攻击者可以利用该漏洞执行恶意java代码，最终导致网站数据被窃取、网页被篡改等严重后果，使网站及网民安全受到了极大的威胁。

为了避免站长们的损失，百度站长平台现发出安全风险通告，请站长们排查网站是否使用Struts2框架，如使用请您及时诊断自己网站是否存在该漏洞。为此，安全联盟合作伙伴scanv安全中心紧急开发了一款在线小工具，可以帮您快速诊断是否存在此漏洞，详情点击：http://www.scanv.com/tools/ 。

如果您的网站存在此漏洞，请您进行紧急修复，升级至官方最新版本Struts 2.3.15.1，下载地址：http://struts.apache.org/download.cgi#struts23151，升级修补了多个安全漏洞，其中包括这个远程任意代码的高危安全漏洞。

Struts2昨日被曝出远程执行漏洞。Struts漏洞影响巨大，受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现，填入地址可直接执行服务器命令，读取数据甚至直接关机等操作...

另国内知名安全漏洞平台乌云网站显示，从昨日开始，收到国内大量知名站点因使用Struts应用框架产生的漏洞，涉及网站包括库巴网、百度、中国联通分站、易宝支付、土豆网、京东商城、1号店、百合网、网易、搜狐、淘宝等。目前影响网站仍在增长中。而且漏洞利用代码已经被强化，可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。

Struts通过采用JavaServlet/JSP技术，实现了基于JavaEEWeb应用的Model-View-Controller（MVC）设计模式的应用框架，是MVC经典设计模式中的一个经典产品，是应用最广泛的Web应用框架之一。

白帽子向乌云漏洞报告平台提交的漏洞列表：