漏洞概要
北京时间9月6日21时,Apache官方发布了一则公告称,Struts2修复了一个影响等级为严重的远程代码执行漏洞,编号为 S2-052,公告中对该漏洞的简要描述:
Struts2-REST插件使用带有 XStream实例的 XStreamHandler进行反序列化操作而不对数据进行任何类型检查,这将可能导致在对 XML数据进行序列处理时,执行远程代码。
修复方案
升级到 Apache Struts版本 2.5.13.
临时防御措施
停止使用REST插件;
限制服务端拓展类型;
<constant name="struts.action.extension" value="xhtml,json" />
官方公告
http://struts.apache.org/docs/s2-052.html