Struts 配置需要更改成: struts.enable.DynamicMethodInvocation 的值为 false或无该属性。
Apache官方发布安全公告(官方编号S2-033 http://struts.apache.org/docs/s2-033.html ),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。 同时国内安全厂商安恒发布公告《紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整》,通过分析安全公告中的修复版本根本对这个漏洞未做任何修补,即官方安全公告中的最新版修复是无效的。
完整修复方案:关闭动态方法调用:
鉴于Struts2近期连续多个漏洞,都是在开启动态方法调用的情况下造成的,为安全起见,产品线中均需关闭动态方法调用,若需开启,需走报备流程,经评估后才可发布。
测试方法:
1.使用记事本打开Struts2的配置文件Struts.xml,查看“struts.enable.DynamicMethodInvocation”的值;
2.struts.enable.DynamicMethodInvocation 的值为 false或无该属性