登录  免费注册
当前位置:首页 > 漏洞详细信息

Apache Struts2 REST插件远程代码执行漏洞

 关注(2)  
CNVD-ID CNVD-2017-25267
公开日期 2017-09-06
危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
影响产品 Apache Struts2 >=2.5,<=2.5.12
CVE ID CVE-2017-9805
漏洞描述 Struts2 是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。

Apache Struts2 REST插件存在远程代码执行漏洞,由于使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,导致攻击者可构造恶意的XML内容执行任意代码。
参考链接 https://cwiki.apache.org/confluence/display/WW/S2-052
漏洞解决方案 升级到Struts 2.5.13版本,补丁下载地址:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13
厂商补丁 Apache Struts2 REST插件远程代码执行漏洞的补丁
验证信息 已验证
报送时间 2017-09-06
收录时间 2017-09-06
更新时间 2017-09-15
漏洞附件 (无附件)
  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论