commons-fileupload-1.3.3.zip

Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞安全公告 安全公告编号:CNTA-2018-0029 2018年11月7日，国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞（CNVD-2016-09997，对应CVE-2016-1000031）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，厂商已发布修复漏洞的版本。 一、漏洞情况分析 Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。 2018年11月5日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE-2016-1000031），该漏洞由Tenable研究团队发现。此漏洞为FileUpload 库中的一个高危漏洞，这个库作为Apache Struts 2的一部分，被用作文件上传的默认机制。攻击者可以在未经授权的情况下，执行任意代码并可获取目标系统的所有权限。 CNVD对该漏洞的综合评级为“高危”。 二、漏洞影响范围 目前，漏洞影响的产品版本包括： Struts 2.5.12以下版本。 三、漏洞处置建议 目前，Apache公司已发布了新版本（Struts 2.5.12及以上版本，包括Commons FileUpload库的修补版本1.3.3）修复了该漏洞