漏洞編號
CVE-2018-1327(S2-056)
漏洞影響
Struts 2.1.1 – Struts 2.5.14.1版本
漏洞概述
S2-056漏洞發生於Apache Struts2的REST插件,當使用XStream組件對XML格式的數據包進行反序列化操作,且未對數據內容進行有效驗證時,攻擊者可通過提交惡意XML數據對應用進行遠程DoS攻擊。
解決方案
Apache Struts官方在新版本2.5.16版本中針對S2-056漏洞進行了防護,建議應用Apache Struts2 REST插件的用戶排查框架版本是否受漏洞影響,及時升級框架並替換XML解析器為Jackson XML處理類JacksonXmlHandler 。
參考資訊:
[1] http://blog.nsfocus.net/struts-s2-05/
[2] https://securityonline.info/cve-2018-1327-struts-framework…/
[3] https://cwiki.apache.org/confluence/display/WW/S2-056
[4] https://www.secfree.com/article-756.html
-------------------
如果你認同支持我們每日分享的文章的話,請幫我們按個讚並且點擊追蹤「搶先看」,這樣就可以快速獲得最新消息囉!
您的分享及點讚,是我們最大的動力來源。
https://www.facebook.com/LonelyPoPo/
![[漏洞預警] 中國蟻劍爆出XSS\RCE漏洞-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/中國蟻劍-220x150.jpg)
