大汉版通JACT系统存在s2-020

### 简要描述： struts2补丁不及时。 ### 详细说明： 大汉版通JACT系统使用的struts2存在s2-020漏洞，该漏洞在一定条件会为系统带来较大安全风险。例如当系统部署在Tomcat下时，class.classLoader.resources.dirContext.docBase可被任意赋值从而导致网站不可用或者文件下载等，如果Tomcat是运行在windows系统下则还可能造成远程代码执行。更多内容参考：http://drops.wooyun.org/papers/1377 PS:附送任意文件下载一枚： http://demo.hanweb.com/jsearch/down.jsp?abspathfile=c:/boot.ini&filename=xxx.txt http://demo.hanweb.com/jsearch/down.jsp?pathfile=./../jsearch/down.jsp&filename=xxx.txt ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/08045252421d0984e5d7aaf0beb8f09e8aeaf162.png" alt="jact1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/08045252421d0984e5d7aaf0beb8f09e8aeaf162.png) [<img src="https://images.seebug.org/upload/201405/0804533457a52c0be131ca07f3a607a4707136af.png" alt="jact2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/0804533457a52c0be131ca07f3a607a4707136af.png)