Apache Struts Convention插件路径遍历漏洞（CVE-2016-6795）

Apache Struts Convention插件路径遍历漏洞（CVE-2016-6795）
发布日期：2016-10-19
更新日期：2016-10-19

受影响系统：

Apache Group Struts 2.3.20 - 2.3.31

描述：

CVE（CAN） ID: CVE-2016-6795

Struts2 是构建企业级Jave Web应用的可扩展框架。

Struts 2.3.20 - 2.3.31在Convention插件中存在路径遍历漏洞，攻击者通过构造的URL，可在服务器端进行路径遍历及代码执行攻击。

<*来源：Takeshi Terada （Mitsui Bussan Secure Directions, Inc）

链接：http://struts.apache.org/docs/s2-042.html
*>

建议：

厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（s2-042）以及相应补丁:
s2-042：Possible path traversal in the Convention plugin
链接：http://struts.apache.org/docs/s2-042.html