【漏洞预警】Apache Struts2插件高危漏洞(S2-052)

作者:J0s1ph   发布:2017-09-06 00:18   分类:漏洞公布   围观:24次   发表评论  

漏洞编号:CVE-2017-9805

漏洞作者:Man Yue Mo <mmo at semmle dot com>

影响版本:Struts 2.5 – Struts 2.5.12

漏洞等级:严重

漏洞简述:当启用 Struts REST的XStream handler去反序列化处理XML请求,可能造成远程代码执行漏洞。

漏洞描述:

当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例,可能导致在处理XML时造成远程代码执行漏洞。

漏洞POC:暂无

修复建议:

1.  升级Apache struts 2.5.13版本

2. 如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名

1
<constant name="struts.action.extension" value="xhtml,,json" />

参考:

https://cwiki.apache.org/confluence/display/WW/S2-052 

【上一篇】
【下一篇】

您可能还会对这些文章感兴趣!

    1. Oracle数据库攻击测试工具 – ODAT
    2. 无线网络嗅探分析工具 – CommView for WiFi
    3. DDoS兵器谱2014Q1版
    4. 大小写惹得祸:Git客户端中曝出高危漏洞
    5. 一次通过漏洞挖掘成功渗透某网站的过程
    6. 暗网搜索引擎Memex:美帝最新制造的犯罪追踪神器
    7. 张小龙首次完整阐述他对微信公众号的设计与规划,(1)
    8. 新《黑客帝国》三部曲有戏了
    9. 下一个退休的互联网创业大佬会是谁?
    10. 万能密码——古老又实用的技巧
    11. 走近数字保镖Steve
    12. 先放下对余佳文的质疑争议,看看他说产品、市场与
    13. 虚拟化网络集成和管理的4个技巧(1)
    14. VMWare拟15.4亿美金收购安全厂商AirWatch
    15. 快递官网漏洞泄露 1400 万用户信息
    16. ATM机渗透测试的攻防实践

【漏洞预警】Apache Struts2插件高危漏洞(S2-052):等您发表观点!

发表评论


快捷键:Ctrl+Enter