本文由 发布，转载请注明出处，如有问题请联系我们！ 发布时间: 2021-08-01struts2文件上传步骤-struts2实现文件上传功能

继3月6日S2-045在struts2暴发系统漏洞后，今日又暴发了一个系统漏洞。Struts2宣布确定了此系统漏洞(S2-046)，并将其评选为高危系统漏洞。三家企业汇报了S2-046系统漏洞:高通芯片，dbappsecurity和HPE。

Struts2运用普遍，世界各国很多生产商都是在应用这一架构。

Struts2是一个根据MVC策略模式的Web运用架构，实质上等同于一个servlet。在MVC三层架构中，Struts2当做控制板，在实体模型和主视图中间创建数据信息互动。Struts 2是Struts的下一代商品，是根据struts 1和WebWork的全新升级Struts 2架构。

缺点剖析

应用Jakarta软件解决上传文件实际操作将会会造成远程控制程序执行系统漏洞。

开启系统漏洞必须符合的标准:

JakartaStreamMultipartRequest已开启。换句话说，Struts2必须根据菲律宾流在线解析来配备(并不是初始的)。签入构造2环境变量。

依据內容长短头的申明，默认设置状况下，提交的图片大小超过Struts2容许的2GB尺寸。

文件夹名称包括OGNL合理负荷。

系统漏洞的伤害。

网络攻击能够根据改动HTTP请求头中的Content-Length字段名，使其超过Struts2容许的最高值(2GB)，并改动Content-Disposition中的filename字段名，在受影响的网络服务器上运行DOS命令，进而结构恶意程序，进一步良好控制网络服务器，造成拒绝服务攻击，数据泄漏和网址伪造。因为默认设置状况下开启了运用此系统漏洞需要的部件，因而该系统漏洞的影响更高。

网站漏洞扫描

检测以以下方法开展:

查询WEB文件目录下/WEB-INF/lib/文件目录中的struts2-core-x.x.x.jar文件。假如用x表明的版本信息在2.3.5到2.3.31和2.5到2.5.10中间，而且沒有改动默认设置配备，则存有系统漏洞。

解决方案

现阶段早已有些人在网上推广系统漏洞POC。为了更好地维护您的财产，请依照下面方式立即修补系统漏洞。

S2-046PoC如下所示:

2.假如您已经采用根据Jakarta的上传文件多一部分在线解析，请将Apache Struts升級到2.3.32或2.5.10.1。

3.和前边的系统漏洞一样，也是有相对应的变通办法，即选用Mutipart在线解析的别的完成计划方案。Apache还给予了2个软件做为解决方法(根据连接:https://GitHub . com/Apache/Struts-extras)-假如应用Apache Struts 2 . 3 . 8–2 . 5 . 5或2 . 3 . 20–2 . 5 . 5版本号，能够选用这一解决方法。

4.除此之外，上传文件回调函数能够从堆中清除，而且它自身的堆能够被界定并设定为默认设置堆。该解决方法对Struts 2 . 5 . 8–2 . 5 . 10合理。