当Struts2中的devMode模式设置为true时,存在严重远程代码执行漏洞。如果WEB服务以最高权限运行时,可远程执行任意命令,包括远程控制服务器。
如果为受影响的版本,建议修改配置文件struts.xml,增加或更改内容如下:<constant name="struts.devMode" value="false"/>
Struts2开发模式漏洞技术分析与防护方案
http://blog.nsfocus.net/struts2-development-model-vulnerability-technical-analysis/
参考链接:
Struts2 Webconsole.html页面Ognl调试流程 http://www.hack80.com/thread-47214-1-1.html
S2—016 http://www.freebuf.com/vuls/11220.html