struts2 又双叒叕出高危漏洞（S2-048）

漏洞编号：CVE-2017-9791
漏洞作者：icez ic3z#qq.com
影响版本：Struts 2.3.x
漏洞等级：高危
漏洞简要描述：当Struts 2中的  Struts 1插件启用的情况下，攻击者通过使用恶意字段值可能造成RCE。这些不可信的输入数据被带入到ActionMessage类中的错误信息中。
临时解决方案：
开发者通过使用resource keys替代将原始消息直接传递给ActionMessage的方式。 如下所示

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));
一定不要使用如下的方式

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));
验证截图