未然预警 | Apache Struts2再爆高危漏洞S2-052

Posted 2021-04-28 未然实验室

0x01 漏洞简介

北京时间9月6日夜间，Apache Struts2发布安全公告，宣称修复了一个可能导致远程代码执行的漏洞，该漏洞是由于Struts2在使用REST插件和XStream处理句柄对XML请求进行反序列化时存在问题，导致可能被黑客攻击。

Struts2官方将该漏洞编号为S2-052, 该漏洞也已获CVE编号CVE-2017-9805，漏洞严重程度为“高危”。

0x02 问题描述

当启用Struts REST插件时，用XStream 处理句柄去反序列化处理一个没有经过任何类型过滤的XStream的实例，可能导致Struts2在反序列化XML请求时造成远程代码执行漏洞。

0x03 漏洞影响

该漏洞可导致远程代码执行，黑客可通过该漏洞控制服务器，进而在服务器植入恶意程序，进行勒索、DDoS攻击、窃取敏感数据等攻击行为。

0x04 漏洞应对

漏洞消除

使用Apache Struts2 2.3版本的用户，请升级至2.3.34版本，使用使用Apache Struts2 2.3版本的用户，请升级至2.5.13。

漏洞规避

对于无法进行升级的用户，可通过如下配置移除REST插件，或将其限制为服务器的正常网页或者JSON请求：
<constant name="struts.action.extension" value="xhtml,,json" />