2017年9月5 日，Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞（CVE-2017-9805）（S2-052）。目前官方认定漏洞危险等级为【高危】。

 

该漏洞在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时，没有任何类型过滤而导致远程代码执行。据了解， 2008 年以来的所有版本 Struts2 都会受到该漏洞的影响。

 

目前网络上已有 POC （未经验证）公布，安全专家建议:

1、用户尽快升级 Apache Struts 版本至最新版；

2、在不使用 Struts REST插件时，将其删除，或仅限于服务器普通页面和 JSONs：<constant name=”struts.action.extension” value=”xhtml,,json” />。

 

漏洞公告发布后，创宇盾安全专家第一时间进行响应。经确认，知道创宇云安全旗下云防御平台 创宇盾 无须升级安全策略即可有效拦截利用该漏洞的攻击。

 

Seebug照妖镜已上线 Apache Struts2 远程命令执行漏洞(S2-052) 。用户可在线检测 : https://www.seebug.org/monster/。