漏洞描述
Apache Struts 2 是世界上最流行的 Java Web 服务器框架之一。Apache Struts2 在使用 REST 插件的情况下,攻击者使用REST 调用恶意表达式可以远程执行代码。该漏洞编号为 CVE-2016-4438,目前命名为S2-037。,黑客可以利用漏洞直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,当 Struts2 开启devMode 模式时,将导致严重远程代码执行漏洞。如果 WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。