CVE-ID   ：CVE-2017-9805

CNVD-ID：CNVD-2017-25267    

发布时间 ：2017-09-06

漏洞作者 ：Man Yue Mo

漏洞等级 ：高危

影响版本 ：Struts 2.5 - Struts 2.5.12

漏洞描述 ：Struts2 是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。 
Apache Struts2 REST插件存在远程代码执行漏洞，由于使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，导致攻击者可利用漏洞执行任意代码。

参考链接 ：

https://cwiki.apache.org/confluence/display/WW/S2-052

解决方案 ：

1、升级到Struts 2.5.13版本，补丁下载地址：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13

2、如果系统没有使用Struts REST插件，那么可以直接删除Struts REST插件，或者在配置文件中加入如下代码，限制服务端文件的扩展名：