加入收藏 地图 联系我们

St2-052 远程代码命令执行漏洞预警(CVE-2017-9805)

发布时间:日期:2017-10-03  |  编辑:

描述:当使用带有XStream处理程序的Struts REST插件来反序列化XML请求时,可能会发生RCE攻击。  

CVE编号:CVE-2017-9805

受影响的版本:Struts 2.5 - Struts 2.5.12

解决方法:升级到Apache Struts版本2.5.13,最好的选择是在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs:

<constant name="struts.action.extension" value="xhtml,,json" />

由于应用的可用类的默认限制,某些REST操作可能会停止工作。在这种情况下,请调查介绍的新接口以允许每个操作定义类限制,那些接口是:

org.apache.struts2.rest.handler.AllowedClasses

org.apache.struts2.rest.handler.AllowedClassNames

org.apache.struts2.rest.handler.XStreamPermissionProvider

更加详细参见:

https://cwiki.apache.org/confluence/display/WW/S2-052

【关闭】【后退】


上一篇:关于对Windows Office远程代码执行漏洞
下一篇:习近平主持召开进一步推动长江经济带高质量发展座谈会强调 进一步推动长江经济带高质量发展 更好支撑和服务中国式现代化
学院首页 中央网络安全和信息化委员会办公室 中华人民共和国教育部 湖南省教育厅 国家智慧教育公共服务平台

校址:湖南邵阳学院路 邮编:422004 电话:0739-5302313 传真:0739-5302313

湘ICP备14005206号-1 湘教QS3-200505-00672

Coptyright© 2014-2019 All rights Reserved

国家公办全日制普通高等学校

对接产业   |   校企合作   |   工学结合   |   订单培养

在湘招生代码:4715    国际代码:12600