优炫安全研究院发布struts 2 S2-052漏洞预警

Posted 2021-04-28 优炫软件

优炫软件安全研究院发布最新爆发的Apache struts s2-52漏洞通告，请广大用户注意。

1、漏洞描述

当使用带有XStream处理程序的Struts REST插件来处理XML有效负载时，可能会发生远程执行代码攻击。

2、影响程度

   

攻击成本	低
危害程度	高
影响范围	Struts 2.5 - Struts 2.5.12

3 、漏洞分析

REST插件正在使用  XStreamHandler XStream的实例进行反序列化，而不进行任何类型过滤，这可能导致在反序列化XML有效内容时执行远程执行代码。

4、解决办法

a．升级到Apache Struts版本2.5.13

b．选择是在不使用时删除Struts REST插件，或仅限于服务器普通页面和JSONs：

<constant name="struts.action.extension" 

value="xhtml,,json" />

版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属优炫软件所有，受到有关产权及版权法保护。任何个人、机构未经优炫软件的书面授权许可，不得以任何方式复制或引用本文的任何片断。