Struts2-052漏洞範例分析
文章簡介:前言2017年9月5日,由國外安全研究組織lgtm.com的安全研究人員發現的嚴重漏洞在ApacheStruts2官方發布,漏洞編號為CVE-2017-9805(S2-052),攻擊者可以傳入精心構造的xml數據,遠端命令執行。 Struts2REST外掛程式的XStream元件有反序列化漏洞,使用XStream元件對XML格式的封包進行反序列化操作時,未對資料內容進行有效驗證,且有安全隱患,可遠端指令執行。利用條件:使用REST插件並在受影響版本範圍內。利用方式:攻擊者建構惡意資料包遠端利用。
2023-05-13評論 0916