安全公告/【CVE-2017-9805】

基本信息

漏洞描述

Struts2 是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。 Apache Struts2 REST插件存在远程代码执行漏洞，由于使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，导致攻击者可构造恶意的XML内容执行任意代码。

修复方式

将 Struts2 升级到 2.5.13、2.3.34 及以上版本，下载地址：
https://archive.apache.org/dist/struts/
https://struts.apache.org/download

漏洞判定

版本比对检测原理：检查当前系统中Struts2版本是否在受影响版本内|版本比对检测结果：- Struts2
  当前安装版本：2.3.32
  应用相关信息：
  - 进程PID：1770
  - 应用路径：/app/weblogic/bea/wlserver_10.3/workshop/wisent-cobra/WEB-INF/lib/struts2-core-2.3.32.jar
该主机存在此漏洞

参考

CVE-2017-9805，CNVD-2017-25267，CWE-502，CNNVD-201706-914