北京三思网安科技有限公司

联系人:吴女士

座机:010-59433750

手机:18600364534

邮 箱:fangwu@secspace.com

地 址:北京市海淀区二里庄35号万和大厦206号

Apache Struts2 REST插件远程代码执行漏洞

摘要:Apache Struts2 REST插件存在远程代码执行漏洞,由于使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,导致攻击者可利用漏洞执行任意代码。

Struts2.jpg

CVE-ID   :CVE-2017-9805

CNVD-ID:CNVD-2017-25267    

发布时间 :2017-09-06

漏洞作者 :Man Yue Mo

漏洞等级 :高危

影响版本 :Struts 2.5 - Struts 2.5.12

漏洞描述 :Struts2 是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。 
Apache Struts2 REST插件存在远程代码执行漏洞,由于使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,导致攻击者可利用漏洞执行任意代码。

参考链接 :

https://cwiki.apache.org/confluence/display/WW/S2-052

解决方案 :

1、升级到Struts 2.5.13版本,补丁下载地址:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13

2、如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名:

发布者:管理员   点击数:878   发布时间:2017-09-06 10:27:05   更新时间:2018-10-29 15:44:16