8月22日13时，Apache官方发布通告公布了Struts2中一个远程代码执行漏洞（cve-2018-11776）。该漏洞可能在 两种情况下被触发，第一，当没有为底层xml配置中定义的结果设置namespace 值，并且其上层动作集配置没有或只有通配符命名空间值，可能构 成 RCE攻击。第二，当使用没有 value和动作集的url标签时，并且其上层动作集配置没有或只有通配符命名空间值，也可能构成 RCE 攻击。

受影响的版本
l Struts version 2.3.0 – 2.3.34
l Struts version 2.5.0 – 2.5.16

不受影响的版本
l Struts version 2.3.35
l Struts version 2.5.17

解决方案：
请尽快升级至 Apache Struts version 2.3.35 或者 2.5.17。

升级到struts 2.3. 35步骤：

第一步：官网下载struts 2.3.35，地址：http://www-eu.apache.org/dist/struts/2.3.35

第二步：删除旧jar包。

第三步：更新最新jar包。如下：