资讯>系统公告>Apache Struts2又现高危漏洞(S2-052)!网宿云WAF可防御

Apache Struts2又现高危漏洞(S2-052)!网宿云WAF可防御

全速云2017-09-11阅读量:1683点赞数:0

日前,Apache Struts2 应用又曝出存在新的高危远程代码执行漏洞CVE-2017-9805S2-052

 

漏洞概述

Struts2 REST 插件使用带有 XStream 程序的 XStream Handler 进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。任意攻击者都可以构造恶意的XML内容提升权限。

 

漏洞危险等级

【高危】

 

漏洞危害 

攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。

 

漏洞影响

Struts 2.5 -Struts 2.5.12版本

 

解决方案

1.尽快升级到Struts 2.5.13版本,下载地址https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13

2不使用 Struts REST插件时将其删除,或仅限于服务器普通页面和 JSONs<constant name=”struts.action.extension” value=”xhtml,,json” />

3.漏洞公告发布后,网宿云安全专家第一时间进行响应,更新防御策略。网宿云WAF无须升级即可有效拦截利用该漏洞的攻击。

 


全球1000+节点
实时网络监控
稳定的云服务
超强后备资源