Apache Struts 2远程代码执行(RCE)缺陷

Question

根据link，Struts2是易受攻击的，建议Struts2.3的用户升级到2.3.35；Struts2.5的用户需要升级到2.5.17。

我使用的是struts 2.3版本&最新的版本只包含对该漏洞的修复，不保证向后兼容。

请建议我应该遵循哪些替代方案？

Answer 1

执行以下一项或多项操作(1和3是互斥) 1-完全升级和回归测试2-实现安全管理器策略以阻止FilePermission执行3-如果您在升级所有Struts时遇到问题，请尝试升级ognl jar。在这些问题之后，Struts团队通常会加强OGNL沙箱。

也就是说，1和2都是你最好的选择。使您的安全管理器策略尽可能严格。