【漏洞预警】Apache Struts2插件高危漏洞(S2-052)

0

漏洞编号:CVE-2017-9805

漏洞作者:Man Yue Mo <mmo at semmle dot com>

影响版本:Struts 2.5 – Struts 2.5.12

漏洞等级:严重

漏洞简述:当启用 Struts REST的XStream handler去反序列化处理XML请求,可能造成远程代码执行漏洞。

漏洞描述:

当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例,可能导致在处理XML时造成远程代码执行漏洞。

漏洞POC:暂无

修复建议:

1.  升级Apache struts 2.5.13版本

2. 如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名

1
<constant name="struts.action.extension" value="xhtml,,json" />

参考:

https://cwiki.apache.org/confluence/display/WW/S2-052 

Focus On The Network Information Security.

作者主页 邮箱 微博 腾讯微博 QQ Twitter Facebook Google+

发表评论

您的邮箱不会公开,当您的评论有新的回复时,会通过您填写的邮箱向您发送评论内容。 必填字段 *

返回顶部