近日发现Apache Struts2在处理修复CVE-2014-0094漏洞修补方案中存在缺陷,可被黑客绕过。可能造成拒绝服务,特定条件下(服务器的操作系统支持UNC path)可通过映射共享主机目录造成远程代码执行。
DOS影响范围:
Apache Tomcat 8.0.0-RC1 to 8.0.1
Apache Tomcat 7.0.0 to 7.0.50
Apache Tomcat 6
ClassLoader manipulation 影响范围:
Apache Struts versions 2.0.0-2.3.16版本
具体的修复方案请参考:http://struts.apache.org/announce.html#a20140424,请您联系相关人员进行处理。