据 HackerNews.cc 5 日消息,Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞(CVE-2017-9805),在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时,没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。
影响范围:
○ Struts 2.5 – Struts 2.5.12
** 自 2008 年以来的所有版本 Struts2 都会受到影响
解决方案:
○ 目前网络上已有 POC (未经验证)公布,请用户尽快升级 Apache Struts 版本至 2.5.13;
○ 不使用 Struts REST插件时将其删除,或仅限于服务器普通页面和 JSONs:
<constant name=”struts.action.extension” value=”xhtml,,json” />
○ 目前经知道创宇安全团队进一步分析和确认,创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击
相关信息:
○ 官方发布的详细内容:https://cwiki.apache.org/confluence/display/WW/S2-052
○ SeeBug 漏洞报告:https://www.seebug.org/vuldb/ssvid-96420
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册