遠端主機上安裝的 Apache Struts 版本低於 2.3.18，因此會受到 S2-008 公告中所提及的多個弱點影響。

  - 在 Apache Struts 2.2.3.1 之前的版本中ExceptionDelegator 元件在對內容的不相符資料類型進行特定例外處理時將參數值解譯為 OGNL 運算式其允許遠端攻擊者透過特製參數執行任意 Java 程式碼。 (CVE-2012-0391)

  - 在 2.3.1.1 版之前的 Apache Struts 中，CookieInterceptor 元件不會使用參數名稱允許清單，遠端攻擊者可利用此問題，透過建構的 HTTP Cookie 標頭 (可以靜態方法觸發 Java 程式碼執行)，執行任意命令。(CVE-2012-0392)

  - Apache Struts 2.3.1.1 之前版本的 ParameterInterceptor 元件未禁止存取公用建構函式，因此遠端攻擊者可透過會觸發 Java 物件建立的特製參數來建立或覆寫任意檔案。(CVE-2012-0393)

  - 在使用開發人員模式時，Apache Struts 2.3.1.1 之前版本的 DebuggingInterceptor 元件允許遠端攻擊者透過不明媒介執行任意命令。注意：廠商將此行為定性為本身並非安全性弱點。(CVE-2012-0394)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Apache Struts 2.0.0 < 2.3.18 多個弱點 - 遠端命令執行和任意檔案覆寫、Strict DMI 未正確運作 (S2-008)

critical Nessus Plugin ID 279485

版本 1.2

版本 1.1

版本 1.2 Feb 20, 2026, 9:10 AM Exploit attributes ("Exploit framework canvas" set to "True") Exploit attributes ("Exploit framework core" set to "True") Exploit attributes ("Exploit framework d2 elliot" set to "True") Exploit attributes ("Exploit framework metasploit" set to "True") Plugin Feed: 202602200910
版本 1.1 Dec 21, 2025, 7:46 PM New Plugin Feed: 202512211946