Apache struts发布安全公告，公告称Struts2和Struts1中的一个Showcase插件可能导致远程代码执行，并评价为高危漏洞。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架。在Struts 2.3.x 系列的 Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞。当你的应用使用了Struts2 Struts1的插件时，可能导致不受信任的输入传入到ActionMessage类中导致命令执行。

若使用了Struts2 Struts1的插件触发了漏洞时，可采取以下解决方案：

（1）停止启用struts2-struts1-plugin插件。

（2）停止使用showcase.war

（3）始终使用资源键，而不是将原始消息传递给ActionMessage 

（4）建议升级到最新版本2.5.10.1

i春秋为您应急响应，复现真实漏洞场景，了解漏洞危害以及临时修补方案。热爱动手的你，点击课程马上实验吧！