Apache Struts2插件高危漏洞(S2-052)

07.4W+0
华盟原创文章投稿奖励计划

由Lukasz Lenart创建,最后一次修改是在昨天晚上7点43分。

概要

当使用带有XStream处理程序的Struts REST插件来处理XML有效负载时,可能会发生远程执行代码攻击

1

问题

REST插件正在使用  XStreamHandler XStream的实例进行反序列化,而不进行任何类型过滤,这可能导致在反序列化XML有效内容时执行远程执行代码。

解决办法

升级到Apache Struts版本2.5.13或2.3.34。

向后兼容性

由于应用的可用类的默认限制,某些REST操作可能会停止工作。在这种情况下,请调查介绍的新接口以允许每个操作定义类限制,那些接口是:

  • apache.struts2.rest.handler.AllowedClasses
  • apache.struts2.rest.handler.AllowedClassNames
  • apache.struts2.rest.handler.XStreamPermissionProvider

应急办法

可能没有彻底解决办法,目前最好的方式就是在不使用的时候删除Struts REST插件,或者将其限制在服务器正常的页面和JSONs中:

1

 

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
最新漏洞
# Apache Struts2,高危漏洞
喜欢就支持一下吧
点赞0 分享
congtou的头像-华盟网
S时评:奥巴马时代的网络安全-华盟网
S时评:奥巴马时代的网络安全
S时评:奥巴马时代的网络安全
10年前 188W+
华盟学院山东省第二期线下学习计划-华盟网
华盟学院山东省第二期线下学习计划
华盟学院山东省第二期线下学习计划
8年前 85.8W+
我混IT这么久,什么“山寨货”没见过?-华盟网
我混IT这么久,什么“山寨货”没见过?
我混IT这么久,什么“山寨货”没见过?
8年前 83.9W+
停课不停学| 华盟学院&重生信安高阶特训营为你保驾护航-华盟网
停课不停学| 华盟学院&重生信安高阶特训营为你保驾护航
停课不停学| 华盟学院&重生信安高阶特训营为你保驾护航
6年前 49.4W+
BlackHat 2018 | 10大网络安全热点趋势-华盟网
BlackHat 2018 | 10大网络安全热点趋势
BlackHat 2018 | 10大网络安全热点趋势
8年前 49.2W+
万达电商亚洲首个超级账本“黑客马拉松”在沪开赛-华盟网
万达电商亚洲首个超级账本“黑客马拉松”在沪开赛
万达电商亚洲首个超级账本“黑客马拉松”在沪开赛
9年前 40.3W+
相关推荐
入侵监控设备最新漏洞附Poc工具【厉害了】-华盟网
入侵监控设备最新漏洞附Poc工具【厉害了】
入侵监控设备最新漏洞附Poc工具【厉害了】
8年前 13.9W+
CVE-2017-0199:Microsoft Office RTF 漏洞利用 PoC-华盟网
CVE-2017-0199:Microsoft Office RTF 漏洞利用 PoC
CVE-2017-0199:Microsoft Office RTF 漏洞利用 PoC
9年前 11.9W+
Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)-华盟网
Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
9年前 11.7W+
fastjson远程代码执行漏洞技术分析与防护方案-华盟网
fastjson远程代码执行漏洞技术分析与防护方案
fastjson远程代码执行漏洞技术分析与防护方案
9年前 11.7W+
【注意】RouterOS 重要漏洞-华盟网
【注意】RouterOS 重要漏洞
【注意】RouterOS 重要漏洞
8年前 11.2W+
Java AMF3曝远程代码执行漏洞-华盟网
Java AMF3曝远程代码执行漏洞
Java AMF3曝远程代码执行漏洞
9年前 10.6W+
评论 抢沙发

请登录后发表评论

    暂无评论内容