记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【漏洞预警】Apache Struts2插件高危漏洞(S2-052)

2017-09-06 07:20

【漏洞预警】Apache Struts2插件高危漏洞(S2-052)

2017-09-05 23:40:38 阅读:8899次 收藏 来源: 安全客 作者:安全客


http://p1.qhimg.com/t01a6f34a22f820e327.png

漏洞编号:CVE-2017-9805

漏洞作者:Man Yue Mo <mmo at semmle dot com>

影响版本:Struts 2.5 - Struts 2.5.12

漏洞等级:严重

漏洞简述:当启用 Struts REST的XStream handler去反序列化处理XML请求,可能造成远程代码执行漏洞。

漏洞描述:

当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例,可能导致在处理XML时造成远程代码执行漏洞。

漏洞POC:暂不公开

验证截图:

http://p1.qhimg.com/t016566eb06b765bfb2.png

修复建议:

1.  升级Apache struts 2.5.13版本

2. 如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名

<constant name="struts.action.extension" value="xhtml,,json" />

参考:

https://cwiki.apache.org/confluence/display/WW/S2-052 



本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://cwiki.apache.org/confluence/display/WW/S2-052

知识来源: bobao.360.cn/news/detail/4291.html

阅读:267744 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“【漏洞预警】Apache Struts2插件高危漏洞(S2-052)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词