近日，Apache软件基金会（ASF）向Apache Struts项目管理员发布了关于CVE-2016-1000031漏洞的安全公告，其中披露一个Commons FileUpload库的历史高危漏洞CVE-2016-1000031，而2.3.x系列版本的Apache Struts2仍在使用低版本的Commons FileUpload库，该库作为Struts2的一部分，被用作文件上传的默认机制，远程攻击者利用该漏洞可直接获得服务器权限。2.5.12以上版本的Struts2暂不受影响。

阿里云安全应急响应中心及时监测到Apache Struts发布的这个安全更新，以解决低版本的Commons FileUpload库带来的远程反序列化代码执行漏洞，凯铧互联安全工程师建议客户尽快更新Commons FileUpload依赖库到最新的发行版本。

影响范围

Apache Struts 2.3.36及之前的版本

风险评级

CVE-2016-1000031：严重

安全建议

方案一：

升级至2.5.18及以上版本的Struts2，官方下载链接：https://struts.apache.org/download.cgi

方案二：

升级Struts2依赖的Commons FileUpload库版本至最新1.3.3，官方下载地址：https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

方案三：

针对Maven的项目可直接修改pom.xml配置文件如下并重构项目：

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

阿里云云盾态势感知应急漏洞模块已支持对该漏洞一键检测，详情登陆云盾控制台

相关链接

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E