↑ 点击上方“安全狗”关注我们

2017年9月5日，Apache Struts发布最新的安全公告，Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9805（S2-052）。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。

Struts2的REST插件在使用带有XStream实例的XStreamHandler进行反序列化而不进行任何类型筛选时, 可能导致远程代码执行。

cve编号：CVE-2017-9805

影响版本：Struts 2.5 - Struts 2.5.12

临时修复方案

停止使用REST插件或限制服务端扩展类型:<constant name="struts.action.extension" value="xhtml,,json" />

升级至官方最新版本

官方已经发布Struts 2.5.13，请更新到最新版本：https://github.com/apache/struts/releases/tag/STRUTS_2_5_13

更新到Struts 2.5.13后，默认限制策略会导致REST的一些函数停止工作，会对一些业务造成影响，建议使用以下新的接口：

org.apache.struts2.rest.handler.AllowedClasses

org.apache.struts2.rest.handler.AllowedClassNames

org.apache.struts2.rest.handler.XStreamPermissionProvider

往期精彩文章：

习近平金砖峰会演讲发布：三次提到网络安全合作！

安全狗受邀参加HCC大会：安全，先行一步！

上班骑什么？安全狗选ofo！

《网络安全法》应该遵循的规则之：互联网金融篇

小伙伴喊我们一起建设云安全生态，我们认为：必须的

天天用的微信、微博和贴吧都被立案调查了

地震过后，是不是要关注一下容灾备份和网络安全？

微软又公布了一批漏洞，有几个还挺严重的

从《网络安全法》首个判罚案例中，我们能学到什么？

安全狗战队再出征：网络安全“比武”获优秀成绩

安全狗首席安全架构师 传授安全飚车秘籍

我们为什么需要渗透测试？

安全狗入选《中国网络安全企业50强》 创新力获市场认可