Apache Struts2 曝远程代码执行漏洞，宝塔面板不受影响

宝塔声明:

Apache官网发布公告，公布一起针对J2EE框架Struts的远程代码执行漏洞，并将此漏洞编号为S2-045（https://cwiki.apache.org/confluence/display/WW/S2-045）漏洞级别为高危。

宝塔面板最新版本所使用的apache版本分别是2.2.32/2.4.25，不在影响范围内，故无需担心。如有其他重大安全漏洞曝光，宝塔会在第一时间确认核实。感谢支持。

漏洞描述：

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架，并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称，包括很多子项目。Struts就是jakarta的紧密关联项目。
Struts2 S2-045漏洞是基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获，并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值，可通过精心构造附带OGNL表达的URL导致远程代码执行。

漏洞风险：

黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令(当上传的文件的Content-Type无效时，struts返回错误信息时调用了表达式使得命令被执行)，将会对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

修复方案：

升级Struts2版本至2.3.32 或者 2.5.10.1
下载地址：http://struts.apache.org/download.cgi#struts2510
2、临时缓解措施：
如用户不方便升级，可采取如下临时解决方案：
删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）