漏洞编号:CVE-2017-9805
漏洞作者:Man Yue Mo <mmo at semmle dot com>
影响版本:Struts 2.5 - Struts 2.5.12
漏洞等级:严重
漏洞简述:当启用 Struts REST的XStream handler去反序列化处理XML请求,可能造成远程代码执行漏洞。
漏洞描述:
当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例,可能导致在处理XML时造成远程代码执行漏洞。
漏洞POC:暂无
修复建议:
1. 升级Apache struts 2.5.13版本
2. 如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名
1
<constant name="struts.action.extension"value="xhtml,,json"/>
参考:
https://cwiki.apache.org/confluence/display/WW/S2-052
还没有评论,来说两句吧...