【升级修复】
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2..5.10.1以消除漏洞影响。
官方公告:https://cwiki..apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
【临时处理方法】
方式1:修改struts2组件中的default.properties文件,将struts.multipart.parser的值由jakarta更改为pell。
方式2: 通过WAF等过滤方式对Content-Type中入侵的关键字:DEFAULT_MEMBER_ACCESS做过滤
解决方式如下
[root@cenos 0310]# ls struts2-core-2.3.15.1.jar [root@cenos 0310]# jar xf struts2-core-2.3.15.1.jar [root@cenos 0310]# ls FREEMARKER-LICENSE.txt META-INF OGNL-LICENSE.txt overview.html struts-2.1.7.dtd struts-2.3.dtd struts-default.xml template LICENSE.txt NOTICE.txt org struts-2.0.dtd struts-2.1.dtd struts2-core-2.3.15.1.jar struts.vm XWORK-LICENSE.txt [root@cenos 0310]# cd org/apache/struts2/ [root@cenos struts2]# ls default.properties default.properties [root@cenos struts2]# vim default.properties [root@cenos struts2]# grep 'struts.multipart.parser' default.properties # struts.multipart.parser=cos # struts.multipart.parser=pell struts.multipart.parser=pell [root@cenos struts2]#