服务公告 > Apache Struts2远程代码执行漏洞(S2-052)安全预警

Apache Struts2远程代码执行漏洞(S2-052)安全预警

2017-09-07

一、概要

Apache Struts2官方最近公布S2-052漏洞,CVE编号为CVE-2017-9805Struts2在使用带有 XStream 处理程序的 Struts REST 插件,处理 XML 有效负载时,可能发生远程代码执行攻击。

官方链接:https://cwiki.apache.org/confluence/display/WW/S2-052

二、漏洞级别

漏洞级别:严重。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Struts2版本在以下版本范围内,并且使用了REST插件(通过查找struts2-rest-plugin-xxx.jar文件来排查)的,则受该漏洞影响:

Struts 2.1.2 - Struts 2.3.33

Struts 2.5 - Struts 2.5.12

四、安全建议

1 规避措施

在不使用Struts REST插件的情况下,可以将REST插件删除,或仅限于服务器普通页面和JSON,可在配置文件(struts.xml)中添加如下配置:

<constant name="struts.action.extension" value="xhtml,,json" />

2 版本升级

将版本升级至Struts 2.5.13 或者 Struts 2.3.34,官方下载页面:

http://struts.apache.org/download.cgi

注意:升级前请将资料备份,并进行充分测试。