近日，安恒信息安全研究院WEBIN實(shí)驗(yàn)室高級(jí)安全研究員nike.zheng發(fā)現(xiàn)著名J2EE框架——Struts2存在遠(yuǎn)程代碼執(zhí)行的嚴(yán)重漏洞。目前Struts2官方已經(jīng)確認(rèn)漏洞(漏洞編號(hào)S2-045，CVE編號(hào)：cve-2017-5638)，并定級(jí)為高危風(fēng)險(xiǎn)。 　　據(jù)悉，該漏洞影響范圍極廣，涉及Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10多個(gè)版本。黑客可以利用該漏洞通過瀏覽器在遠(yuǎn)程服務(wù)器上執(zhí)行任意系統(tǒng)命令，將會(huì)對(duì)受影響站點(diǎn)造成嚴(yán)重影響，引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。 　　另據(jù)安恒信息安全研究院介紹，漏洞的危害程度極其嚴(yán)重影響極大，就算是此前爆出過危害非常嚴(yán)重s2-016漏洞，在已打補(bǔ)丁后的版本均受本次漏洞的影響。 　　由于該漏洞漏洞利用無任何條件限制，可繞過絕大多數(shù)的防護(hù)設(shè)備的通用防護(hù)策略，直接獲取應(yīng)用系統(tǒng)所在服務(wù)器的控制權(quán)限。安恒信息安全專家建議提前做好該嚴(yán)重漏洞的應(yīng)急準(zhǔn)備工作，可將版本更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防護(hù)設(shè)備進(jìn)行防護(hù)。 　　此外，安恒信息官方表示，安恒信息WAF、玄武盾、APT預(yù)警平臺(tái)等各防護(hù)、監(jiān)測(cè)類的相關(guān)產(chǎn)品已提前針對(duì)該漏洞提供更新策略，并已做好該漏洞相關(guān)的各項(xiàng)應(yīng)對(duì)準(zhǔn)備工作。并且，鑒于此漏洞影響范圍極廣，危害嚴(yán)重，為保障兩會(huì)時(shí)期網(wǎng)站平穩(wěn)運(yùn)行，安恒信息決定為所有受此漏洞影響網(wǎng)站開通玄武盾快速接入綠色通道。網(wǎng)站負(fù)責(zé)人可以致電安恒信息7*24小時(shí)客服熱線，在客服人員的指導(dǎo)下快速接入網(wǎng)站，立即啟動(dòng)防護(hù)。