当Struts2中的devMode模式设置为true时,存在严重远程代码执行漏洞。如果WEB服务以最高权限运行时,可远程执行任意命令,包括远程控制服务器。
如果为受影响的版本,建议修改配置文件struts.xml,增加或更改内容如下:<constant name="struts.devMode" value="false"/>
Struts2开发模式漏洞技术分析与防护方案
参考链接:
Struts2 Webconsole.html页面Ognl调试流程 www.hack80.com/thread-4721…
S2—016 www.freebuf.com/vuls/11220.…
