Apache Struts 2.5.16 爆出 19 个高危漏洞，最高 CVSS 9.8 分且可被利用

Apache Struts 2 框架的核心组件 struts2-core-2.5.16.jar 被安全扫描工具检出存在 19 个安全漏洞，其中最高严重性评分为 CVSS 9.8 分（满分 10 分）。更关键的是，这些漏洞被标记为“可被利用”，意味着攻击者有可能通过网络直接触及并利用这些缺陷，从而构成严重的现实威胁。该版本作为广泛使用的 Java Web 应用框架，其安全风险直接影响大量依赖此版本构建的企业级系统。

漏洞详情显示，问题组件位于路径 `/home/wss-scanner/.m2/repository/org/apache/struts/struts2-core/2.5.16/struts2-core-2.5.16.jar` 中，由项目 `/base/struts2/2.5.16/pom.xml` 文件引入。扫描报告来源于一个公开的 GitHub 仓库（TravisPooley/vulhub），表明该问题已在开源社区中被识别和记录。报告列出了每个漏洞的严重性、CVSS 评分、利用成熟度（Exploit Maturity）和 EPSS 评分，为评估风险提供了具体数据支撑。

对于仍在使用 Apache Struts 2.5.16 版本的组织而言，这构成了迫在眉睫的升级压力。报告中通常包含“已修复版本”信息，敦促开发者立即升级到无漏洞的更高版本。鉴于 Struts 框架历史上曾因严重漏洞（如 S2-045）导致大规模数据泄露事件，此次批量漏洞的曝光再次敲响了警钟，可能引发安全团队对相关资产进行紧急排查和修复，以避免潜在的远程代码执行、数据窃取或服务中断风险。