Struts2-052 脆弱性分析例
記事の紹介:はじめに 2017 年 9 月 5 日、海外のセキュリティ研究機関 lgtm.com のセキュリティ研究者によって発見された Apache Struts2 の重大な脆弱性が正式にリリースされました (脆弱性番号は CVE-2017-9805 (S2-052))。慎重に構築された XML データ、リモート コマンド実行。 Struts2REST プラグインの XStream コンポーネントには逆シリアル化の脆弱性があります。XStream コンポーネントを使用して XML 形式のデータ パケットを逆シリアル化する場合、データの内容が効果的に検証されないため、セキュリティ リスクが生じ、リモート コマンドによって実行される可能性があります。エクスプロイト条件: REST プラグインを使用し、影響を受けるバージョン範囲内で使用します。悪用方法: 攻撃者は、リモート悪用のために悪意のあるデータ パケットを作成します。
2023-05-13
コメント 0
916