紧急Struts 2再爆高危漏洞，解决方案一览

Posted 2021-04-28 亚信安全

2017年9月5日，Apache Struts发布最新安全公告，Apache Struts 2 的REST插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9805（S2-052）。Struts 2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

漏洞编号

CVE-2017-9805

漏洞名称

S2-052：Struts2REST插件远程代码执行漏洞

漏洞简介

Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

影响范围

Struts 2.5 - Struts 2.5.12

风险级别

高

修复方案

• 升级Struts到2.5.13最新版本
  

• 在不使用时删除Struts REST插件，或仅限于服务器普通页面和JSONs

  <constantname="struts.action.extension"value="xhtml,,json" />

 

亚信安全产品解决方案

亚信安全服务器深度安全防护系统Deep Security已经更新，最新规则（9月7日凌晨发布）已经可以拦截该漏洞：

1008590 -Apache Struts 2 REST Plugin XStream Remote Code Execution Vulnerability(CVE-2017-9805)

行业热点

亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块，于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组，专注于产业互联网安全服务领域，是中国领先的云与大数据安全技术、产品、方案和服务供应商。

长按二维码即可关注

了解亚信安全，请点击阅读原文：

↓↓↓