一、概要

近期业界爆出Struts2存在远程执行代码漏洞（CVE-2016-1000031），Apache Struts 2.3.36及之前的版本使用了Commons FileUpload 1.3.2及以下版本，这个库作为Struts 2的一部分被用作文件上传的默认机制，该上传机制存在一个高危漏洞，远程攻击者可以使用此漏洞在运行易受攻击的Apache Struts版本的公开网站上获得远程代码执行能力。业界已公布利用代码，官方已发布修复方案。

利用漏洞：CVE-2016-1000031

参考链接：https://www.cisecurity.org/advisory/a-vulnerability-in-apache-struts-could-allow-for-remote-code-execution_2018-123/

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、漏洞影响范围

漏洞影响Commons FileUpload 1.3.2及以下版本（Apache Struts 2.3.36及以下版本，和Apache Struts 2.5.12以下版本默认包含Commons FileUpload 1.3.2及以下版本）

四、修复方法

将Commons FileUpload库升级至 1.3.3版本。

注意：修复漏洞前请将资料备份，并进行充分测试。