【漏洞预警】Struts2 REST插件远程执行命令漏洞(S2-052)

2017-09-08 11:45:58
Dear user
您好!Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。

为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】
当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取业务数据或服务器权限;


【漏洞编号】
CVE-2017-9805

【风险等级】
严重

【漏洞影响】
远程代码执行、获取业务数据或服务器权限;

【利用条件】
使用REST插件条件下且在受影响范围版本内;

【影响版本】
1)Struts 2.3.x全系版本
2)Struts 2.5 - Struts 2.5.12

【修复建议】
目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本;

【相关参考】
https://cwiki.apache.org/confluence/display/WW/S2-052

JD Cloud team

2017-09-08 11:45:58