St2-052 远程代码命令执行漏洞预警(CVE-2017-9805)
描述:当使用带有XStream处理程序的Struts REST插件来反序列化XML请求时,可能会发生RCE攻击
CVE编号:CVE-2017-9805
受影响的版本:Struts 2.5 - Struts 2.5.12
解决方法:
升级到Apache Struts版本2.5.13,最好的选择是在不使用时删除Struts REST插件,或仅限于服务器普通页面和
JSONs:
<constant name="struts.action.extension" value="xhtml,,json" />
由于应用的可用类的默认限制,某些REST操作可能会停止工作。在这种情况下,请调查介绍的新接口以允许每个操作定义类限制,那些接口是:
org.apache.struts2.rest.handler.AllowedClasses
org.apache.struts2.rest.handler.AllowedClassNames
org.apache.struts2.rest.handler.XStreamPermissionProvider
https://cwiki.apache.org/confluence/display/WW/S2-052关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 逐梦苍穹 习近平引领航天强国建设 4961196
- 2 神十八发射取得圆满成功 4952367
- 3 职高女孩逆袭成双一流大学研究生 4813421
- 4 解码首季经济成绩单 4721667
- 5 老人被宠物狗撕咬 手中握刀不舍得砍 4622380
- 6 探访提灯定损涉事房屋:尚未拆 4561513
- 7 女子火车上如厕时130g黄金掉落铁轨 4440273
- 8 广东一少女被性侵怀孕?镇政府回应 4382491
- 9 深圳部分区域将取消限购不实 4213474
- 10 老人在养老院被捆绑 警方:护工被拘 4190782