（中等危险级别）S2-053：Apache Struts2远程代码执行漏洞bug

漏洞bug纲目
破绽编号：CVE-2017-12611、S2-053
缝隙概述：当开发职员在Freemarker标签中运用差池的构造时，可能会招致近程代码执行破绽。
破绽作者：Lupin@京东保险团队、David Greene、Roland McIntosh
影响领域：Struts 2.0.1 - Struts 2.3.33、Struts 2.5 - Struts 2.5.10
马脚等第：中危
漏洞描述
当在Freemarker标签中运用诠释式常量或逼迫抒发式时应用苦求值可能会导致近程代码实行bug（见上面的示例）。
在这两种情况下，值属性都运用可写属性，都邑遭到Freemarker的评释式的影响。
修复提倡
不要在代码中应用上述组织，可以使用只读属性来初始化value属性（仅限getter属性）。
升级到Apache Struts 2.5.13或2.3.34版本
 

漏洞bug纲目
破绽编号：CVE-2017-12611、S2-053
缝隙概述：当开发职员在Freemarker标签中运用差池的构造时，可能会招致近程代码执行破绽。
破绽作者：Lupin@京东保险团队、David Greene、Roland McIntosh
影响领域：Struts 2.0.1 - Struts 2.3.33、Struts 2.5 - Struts 2.5.10
马脚等第：中危
漏洞描述
当在Freemarker标签中运用诠释式常量或逼迫抒发式时应用苦求值可能会导致近程代码实行bug（见上面的示例）。
在这两种情况下，值属性都运用可写属性，都邑遭到Freemarker的评释式的影响。
修复提倡
不要在代码中应用上述组织，可以使用只读属性来初始化value属性（仅限getter属性）。
升级到Apache Struts 2.5.13或2.3.34版本
 

本文来自无奈人生安全网