Apache Struts2 再现漏洞

　　Apache Struts 团队上周刚修复了一个潜在的远程命令执行漏洞，今天再次发布新版本 2.3.14.3，修复了另一个重要的安全漏洞。 

　　Struts 框架允许基于通配符的动作映射，且当一个请求不匹配动作时，会尝试加载一个基于动作名称的 JSP 文件。由于动作名称中可以嵌入 OGNL 表达式，因此这有可能导致攻击者在服务器端执行 Java 代码。 

　　在新版本中，可以检查动作名称是否匹配正则表达式[a-z]*[A-Z]*[0-9]*[.\-_!/]*（管理员也可以通过 struts.xml 来修改所允许动作名称的相关正则表达式），并且从 OgnlTextParser 中移除了双重求值功能。 

　　你可以通过 S2-015 安全公告来查看问题的细节和相关示例。 

　　新版本下载地址：http://struts.apache.org/download.cgi#struts23143