Apache Struts 2是世界上最流行的Java Web服务器框架之一。

然而在Struts 2上发现存在高危安全漏洞（CVE-2017-5638,S02-45）,该漏洞影响到：Struts 2.3.5 - Struts 2.3.31，Struts 2.5 - Struts 2.5.10

概要

基于Jakarta Multipart解析器执行文件上传时可能的远程执行代码。

问题

可能执行具有恶意Content-Type 值的RCE攻击  。如果Content-Type 值无效，则抛出异常，然后用于向用户显示错误消息。

建议

如果您使用基于Jakarta的文件上传Multipart解析器，请升级到Apache Struts 2.3.32或2.5.10.1版。你也可以切换到不同的实现多部分解析器。

向后兼容性

预期不会有向后不兼容问题。

解决方法

实现一个Servlet过滤器，它将验证Content-Type 并丢弃具有可疑值不匹配的请求 multipart/form-data.