freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

高危漏洞预警39期:Struts2 REST插件XStream远程代码执行漏洞
2017-09-08 10:12:24

2017年9月5日,Apache Struts发布最新的安全公告,Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9805(S2-052)。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。


一、漏洞概述

Struts2的REST插件在使用带有XStream实例的XStreamHandler进行反序列化而不进行任何类型筛选时, 可能导致远程代码执行。

cve编号:CVE-2017-9805

影响版本:Struts 2.5 - Struts 2.5.12


二、修复建议

1、临时修复方案

停止使用REST插件或限制服务端扩展类型:<constant name="struts.action.extension" value="xhtml,,json" />

2、升级至官方最新版本

官方已经发布Struts 2.5.13,请更新到最新版本:https://github.com/apache/struts/releases/tag/STRUTS_2_5_13


三、注意事项

更新到Struts 2.5.13后,默认限制策略会导致REST的一些函数停止工作,会对一些业务造成影响,建议使用以下新的接口:

org.apache.struts2.rest.handler.AllowedClasses

org.apache.struts2.rest.handler.AllowedClassNames

org.apache.struts2.rest.handler.XStreamPermissionProvider


本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦