Struts 2紧急发布漏洞S2-052和S2-053，天融信web扫描新漏扫产品漏洞规则库已更新

Posted 2021-04-28 天融信

2017年9月5日、9月7日，

Apache Struts接连发布漏洞编号分别为CVE-2017-9805（S2-052）和CVE-2017-12611（S2-053）的安全漏洞，天融信web扫描、新漏扫产品均已更新漏洞规则库，请大家及时检查升级规则库。

Struts2 S2-052受影响版本

Struts 2.5 - Struts2.5.12

Struts2 S2-053受影响版本

Struts 2.0.1 - Struts2.3.33     Struts 2.5- Struts2.5.10

S2-052官方说明界面

链接如下

http://struts.apache.org/docs/s2-052.html

S052漏洞概述：

Struts2 REST插件的XStream组件存在反序列化漏洞，使用带有 XStream实例的 XStreamHandler进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

解决方案

1.升级到 Apache Struts版本2.5.13.

2.如果系统没有使用Struts REST插件，那么可以直接删除Struts REST插件，或者在配置文件中加入如下代码，限制服务端文件的扩展名

S2-053官方说明界面

链接如下

https://cwiki.apache.org/confluence/display/WW/S2-053

S053漏洞概述：

当在Freemarker标签中使用表达式常量或强制表达式时使用请求值可能会导致远程代码执行漏洞（见下面的示例）。

解决方案

1、升级到Apache Struts版本2.5.12或2.3.34

2、使用只读属性来初始化value属性（仅限getter属性）

3、Freemarker标签内容不要通过Request方式获取 

 

目前天融信的WEB扫描、新漏扫产品均已支持检测该漏洞。许可证未过期的web扫描和新漏扫可进行在线或离线手动的升级。请各位用户尽快升级相应产品的漏洞库至最新版本。

ftp://ftp.topsec.com.cn/漏洞扫描（TopScanner）/web扫描、新漏扫升级包/sig_v20170908003615.img

热点推荐