优炫软件安全研究院发布最新爆发的Apache struts s2-52漏洞通告,请广大用户注意。
1、漏洞描述
当使用带有XStream处理程序的Struts REST插件来处理XML有效负载时,可能会发生远程执行代码攻击。
2、影响程度
3 、漏洞分析
REST插件正在使用 XStreamHandler XStream的实例进行反序列化,而不进行任何类型过滤,这可能导致在反序列化XML有效内容时执行远程执行代码。
4、解决办法
a.升级到Apache Struts版本2.5.13
b.选择是在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs:
<constant name="struts.action.extension"value="xhtml,,json" />
版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属优炫软件所有,受到有关产权及版权法保护。任何个人、机构未经优炫软件的书面授权许可,不得以任何方式复制或引用本文的任何片断。