Apache Struts项目团队今天发布了Struts 2.3.14.2版本。尽管这是一个小版本,但解决了一个关键的安全问题:
引用:
通过强制在URL中包含参数可触发一个安全漏洞,使得链接标记允许执行远程命令、访问/控制会话以及发起XSS攻击等。
强烈建议所有的开发者立即更新至最新的Struts 2.3.14.2版本。
详细信息可参阅:Version Notes 2.3.14.2
下载地址:http://struts.apache.org/
实例参考:http://ahack.iteye.com/blog/1873005
解读参考:http://www.inbreak.net/archives/487