更新struts2到2.3.32

最新推荐文章于 2025-08-09 12:48:13 发布
原创 最新推荐文章于 2025-08-09 12:48:13 发布 · 1.6k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
Struts2 S2-045 (CVE-2017-5638) 是一个允许远程代码执行的高危漏洞。本文介绍受影响的版本范围,并提供必要的补救措施,包括需要替换的jar包和文件。
背景:
struts2近日被曝存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞
(漏洞编号 S2-045 ,CVE编号: cve-2017-5638 ),并定级为高危。
由于该漏洞影响范围极广(Struts2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),

漏洞危害程度极为严重,可直接获取应用系统所在服务器的控制权限。

漏洞相关信息请参考:http://www.myhack58.com/Article/html/3/62/2017/84040.htm


如果你当前的项目使用了 Struts2.3.5至 Struts 2.3.31版本 或者 Struts 2.5至Struts 2.5.10版本
必须替换的jar包:
1. xwork-core-2.3.32.jar
2. struts2-json-plugin-2.3.32.jar
3. struts2-core-2.3.32.jar
可能需要替换或增加的jar包:
1. struts2-spring-plugin-2.3.32.jar
2. ognl-3.0.19.jar
3. javassist-3.11.0.GA.jar
4. freemarker-2.3.22.jar

可能需要增加的文件

1. struts-tags.tld (如果页面中有使用到struts标签的话,需要放置在WEB-INF文件夹下)


jar下载地址:

http://mvnrepository.com

https://Git.oschina.NET/liufile/tools/attach_files


notes: 如果更新版本之后报如下错误:

Exception sending context initialized event to listener instance of class org.apache.struts2.tiles.StrutsTilesListener: java.lang.Nul
lPointerException
        at org.apache.tiles.util.URLUtil.getBaseTilesDefinitionURLs(URLUtil.java:54) [tiles-core-2.2.2.jar:2.2.2]
        at org.apache.struts2.tiles.StrutsTilesContainerFactory.getSourceURLs(StrutsTilesContainerFactory.java:229) [struts2-tiles-plugin-2
.3.32.jar:2.3.32]

可能是某些tiles文件找不到, 因为web.xml里默认的配置是

<context-param>
    <param-name>org.apache.tiles.impl.BasicTilesContainer.DEFINITIONS_CONFIG</param-name>
    <param-value>/tiles/tiles-common.xml,/tiles/tiles-auth.xml,/tiles/tiles-developer.xml,/tiles/tiles-seller.xml,/tiles/tiles-guest.xml,/tiles/tiles-admin.xml</param-value>
  </context-param>

看看这些tiles文件你本地是不是都有,如果没有并且没用就把web.xml里配置的对应tiles删除。

struts2.3.32 下载
03-08
struts2.3.32最新包,可以解决Struts2-S2-045远程代码执行漏洞。
struts2-spring-plugin-2.3.15.2.jar ; struts2-json-plugin-2.3.16.3.jar
09-27
struts2-spring-plugin-2.3.15.2.jar ; struts2-json-plugin-2.3.16.3.jarstruts2-spring-plugin-2.3.15.2.jar ; struts2-json-plugin-2.3.16.3.jar
升级到Struts 2.3.32问题-struts2校验文件不起作用
天翔空水木的专栏
08-03 1238
升级到Struts 2.3.32问题-struts2校验文件不起作用
struts2升级安全jar包示例
不抛弃、不放弃:Aaron莫言
07-27 608
struts2升级安全jar包示例
Struts2.3.32升级到Struts2.5.26详细步骤(无敌版)
weixin_41271981的博客
12-24 8872
Struts2真是三天两头爆出漏洞来,特别是一爆出漏洞就建议升级到最新版,也是无语的,并且最新版相比老板还相差挺大的,这部这次需要从Struts2.3.32一下子就必须升级到最新版,这可让人头大,谷歌百度了几天都没有解决方案,大概是因为每个人的项目都是不同的吧,有些用纯注解,有些用配置文件,所以可能适合你的解决方案却不适合别人,最终还是得靠自己解决,下面整理了一下我的解决方案,其中有些错误只能通过修改源码来搞定的。 ###一、项目背景 这里先要说一下要升级的项目背景,因为不同架构的项目升级方法可能有差异,我
Struts版本升级——安全漏洞:版本由2.3.32升级为2.5.22
我想靜靜
08-17 2140
struts2——一个web应用框架,目前很多新项目已不再使用。 但是很多老项目很可能是使用Strus2进行开发的。本人接触一个项目使用的但是Struts 2.3.32版本。因为安全漏洞扫描,发现很多安全问题。为了解决这些问题,需要对Struts2的版本进行升级。 而版本升级有牵涉到项目中一系列的改动,都有哪些改动呢? Struts2版本由2.3.32升级为2.5.22 1、struts2jar包版本替换 找到项目的pom.xml文件, <dependency> <gro
Struts2.3.32:安全与性能优化的Java Web框架更新
最新发布
weixin_33750664的博客
08-09 1122
Struts2是Apache软件基金会赞助的一个开源项目,它始于2001年的WebWork框架,并于2007年正式发布了Struts2的第一个版本。此框架是为了解决复杂企业级Web应用开发而设计的,它以MVC(模型-视图-控制器)的设计模式为核心,让开发者更高效地进行业务逻辑和用户界面的分离。性能优化是软件开发中至关重要的环节,对于框架来说尤其如此。良好的性能优化可以大幅提升用户体验,减少资源消耗。性能优化的目的是在保证系统稳定性的前提下,提高系统处理请求的效率,减少响应时间,并降低系统资源消耗。
Struts2框架核心库及安全更新详解
weixin_34640289的博客
11-18 938
本文还有配套的精品资源,点击获取 简介:Struts2是一个基于MVC设计模式的Java Web开发框架,其中Action类是核心,负责请求处理和业务逻辑交互。XWork是Struts2的基础,提供类型转换、拦截器等基础功能。最新版本的"struts2-core-2.3.32"和"xwork-core-2.3.32"修复了安全漏洞,提升了企业级应用的安全性。这两个库提供了强...
struts2.3.32升级到struts2.5.26
初级驾照的博客
12-09 9521
下载struts2.5.26jar包 官网下载 更新jar 新增或替换 commons-io-2.6.jar log4j-api-2.12.1.jar ognl-3.1.28.jar struts2-core-2.5.26.jar struts2-json-plugin-2.5.26.jar struts2-junit-plugin-2.5.26.jar struts2-spring-plugin-2.5.26.jar 删除 xwork-core-2.3.32.jar 修改web.xml <fil
struts2.3.23升级到struts2.3.32
weixin_30314631的博客
03-10 266
新的漏洞 3月8号去审计厅培训系统的使用,那边计算机中心的负责人递过来一张如下图所示的文档,意思是发现了struts2的漏洞,需要进行修复。 在培训前,我登录到服务器中,看到了项目中,所有的服务器中应用的都是struts2.3.20版本,于是默默地答应进行升级,在我心里,struts2出现漏洞是很正常的事情。。 升级准备 升级前,系统项目各个jar包的版本如下: ...
Struts2(四)
weixin_30916125的博客
01-02 230
以下内容是基于导入struts2-2.3.32.jar包来讲的 1.struts2配置文件加载的顺序   struts2StrutsPrepareAndExecuteFilter拦截器中对Dispatcher进行了初始化,在Dispatcher类的init方法中定义了配置文件的加载顺序,加载的顺序依次是: 0.web.xml 1.default.properties文件  作用:定...
struts2-json-plugin-2.3.16.3.jar
05-22
struts2 2.3.16.3 版本配置json所需要的jar文件。有时候版本不一致也会配置失败。
struts2-json-plugin-2.3.15.1.jar
08-13
struts2-core-2.xx 升级为struts2-core-2.3.15.1.jarjsonplugin-0.32.jar需要升级为 struts2-core-2.3.15.1.jar,不然在使用ajax时候报错 java.lang.NullPointerException at org.apache.jsp.web.error_jsp._jspService(error_jsp.java:62)
struts2-json-plugin-2.3.1.jar
01-23
关于使用struct2框架时部分缺失的jsonjar包的补充
struts2升级到Struts2 2.3.32相关jar
07-27
struts2升级到Struts 2.3.32相关jar
struts-2.3.12引入jsonstruts2-json-plugin-2.3.12,断网时报错
grhlove123的专栏
06-26 3019
struts-2.3.12引入jsonstruts2-json-plugin-2.3.12,断网时报错java.net.UnknownHostException: struts.apache.org 刚遇到到这个问题觉得很奇怪,在网上找了一下,发现这是因为这个jar包的问题,用hao压打开一看,里有个struts-plugin.xml文件,打开文件发现在它dtd验证用的2.3 可这个没有啊,
Struts2 已经添加struts2-json-plugin但是仍然找不到json包的解决方法
Xwin1989的专栏
05-20 6303
最近使用了2.3.x 版本的struts2。。。 使用json的时候,包一直都找不到。  而在struts2-json-plugin-2.3.3 包中是有json-default这个包的。。但是就是找不到 没办法了那只能够是我自己定义一个了 struts2-json.xml文件了。。  <!DOCTYPE struts PUBLIC "-//Apache Software Fo
详解struts-2.3.32的配置(巨坑)
Yiyuan_chen的博客
04-12 5537
这几天被这个struts的配置问题搞得我晕头转向,因为网上自己找了几个学习struts2的视频可是,再次提醒,由于一些视屏比较落后,可是现在struts2又是更新到了2.5了,所以难免有很多描述的有出路,这对于初学者而言,真的是一个大坑,下面是我配置的struts-2.3.32的过程,希望能让大家避免一些错误。 我没有选择最新的,因为有时候,遇到的问题,可能连网上都还没有人提问,所以给学习过程带
Struts2-Json-Plugin 的使用(翻译自官方文档)
热门推荐
hld_hepeng的专栏
02-27 1万+
Struts2 中要使用 Ajax 获得 Json 数据我认为目前还是 struts2-json-plugin 了。当然你你可以用手工用像 XStream、Google Gson、Jackson 这样的工具手工把 Java 对象转换成 Json 字符串再写往 Response 去,要写的代码自然多不了,还得留心字符集与 content type。而 struts2-json-plugin
struts2的默认配置文件struts-default.xml
qq30211478的博客
08-11 1735
一、struts2配置文件 (一)struts2的默认配置文件struts-default.xml在struts2-core-XX.jar包的最下面 (二)struts2配置文件中标签的含义 1、package定义一个包。 包作用,管理action。(通常,一个业务模板用一个包)   常见属性及其说明: (1)name 包的名字;以方便在其他处引用此包,此属性是必须的。 包名不能重复;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值