CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)

2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。具...

2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。

具体详情如下:


漏洞编号:

CVE-2017-9805

漏洞名称:

Struts2 REST插件远程执行命令漏洞(S2-052)

官方评级:

严重

漏洞描述:

当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取业务数据或服务器权限。

漏洞利用条件和方式:

使用REST插件条件下且在受影响范围版本内。

漏洞影响范围:

  • Struts 2.3.x全系版本

  • Struts 2.5 - Struts 2.5.12

漏洞检测:

开发人员检查Struts是否使用了REST插件,并在受影响范围内。

漏洞修复建议(或缓解措施):

  • 目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本;

情报来源:


条评论

请先 登录 后评论
不写代码的码农
三叔

422 篇文章

作家榜 »

  1. 小编 文章
返回顶部
部分文章转自于网络,若有侵权请联系我们删除