Apache Struts S2-033远程代码执行漏洞预警(CVE-2016-3087)

近日struts2官方发布了一个远程代码执行漏洞（CVE-2016-3087），该漏洞主要影响Struts 2.3.20 – Struts 2.3.28 (除2.3.20.3、2.3.24.3、2.3.28.1外)版本，攻击者可利用该漏洞获取Struts程序的权限远程执行任意命令。
受影响版本：
Struts 2.3.20 – Struts 2.3.28 （2.3.20.3、2.3.24.3、2.3.28.1除外）
漏洞描述：
使用到REST插件的Struts2应用，在开启动态方法调用（DMI）的情况下，会被攻击者实现远程代码执行攻击。
漏洞详情
漏洞验证：
确认是否使用到REST插件，如使用到该插件，同时检查Struts2的配置文件struts.xml，若“struts.enable.DynamicMethodInvocation” 为“true”，且版本在受影响版本范围内，则说明受影响，否则不受影响
修复方案：
如果您使用了Struts2并在受影响版本内，我们建议您尽快按照如下方案进行修复：
1、禁用动态方法调用（DMI），修改Struts2的配置文件struts.xml，将struts.enable.DynamicMethodInvocation设置为“false”；
2、目前官方已经推出了2.3.20.3、2.3.24.3和2.3.28.1修复这个问题，大家可以针对自己所使用的版本进行升级。
下载地址