2018年11月7日，国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞（CNVD-2016-09997，对应CVE-2016-1000031）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，厂商已发布修复漏洞的版本。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。

2018年11月5日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE-2016-1000031），该漏洞由Tenable研究团队发现。此漏洞为FileUpload 库中的一个高危漏洞，这个库作为Apache Struts 2的一部分，被用作文件上传的默认机制。攻击者可以在未经授权的情况下，执行任意代码并可获取目标系统的所有权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

目前，漏洞影响的产品版本包括：

Struts 2.5.12以下版本。

三、漏洞处置建议

目前，Apache公司已发布了新版本（Struts 2.5.12及以上版本，包括Commons FileUpload库的修补版本1.3.3）修复了该漏洞，CNVD建议用户及时升级最新版本：

https://issues.apache.org/jira/browse/FILEUPLOAD-279

附：参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2016-09997

https://issues.apache.org/jira/browse/FILEUPLOAD-279

引用自：http://www.cnvd.org.cn/webinfo/show/4751