timg.jpg

漏洞描述

在Struts REST插件中使用XStream处理程序时,攻击者使用构造恶意的XML请求执行,发起DoS攻击。

漏洞作者

Yevgeniy Grushka & Alvaro Munoz from HPE 

漏洞编号

CVE-2018-1327

影响版本

Struts 2.1.1 - Struts 2.5.14.1

威胁等级

修复方案

1.升级到Apache Struts的版本2.5.16。

2.基于Apache Struts 2.5.16中的Jackson XML处理程序实现自定义XML处理程序:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers

相关链接

https://cwiki.apache.org/confluence/display/WW/S2-056

http://struts.apache.org/plugins/rest/#custom-contenttypehandlers


指尖安全小组,后续会跟进此漏洞。i_f01.gif