(本文档仅供参考)
问题说明
Apache Struts项目发布了关于CVE-2016-100031漏洞的安全公告,这是2016年初由Tenable研究团队报告的Commons FileUpload 库在低于1.3.3的版本中存在的一个反序列化漏洞,但此前Apache Struts并未予以重视,导致这个库作为Apache Struts 2的一部分,被用作文件上传的默认机制。
目前Apache Struts 2.5.x系列低于2.5.12的版本和Apache Struts 2.3.X系列中包括2.3.36以及之前的版本默认安装存在漏洞的Commons FileUpload 库。该漏洞可导致远程攻击者利用此漏洞在运行易受攻击的Apache Struts版本的网站上获得远程代码执行能力。
解决方案
Smartbi没有使用struts框架,所以并不存在‘struts2 远程代码执行漏洞’
