欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Apache Struts2–052 漏洞研究警示

来源:本站整理 作者:佚名 时间:2017-09-06 TAG: 我要投稿

The REST Plugin is using a XStreamHandler with an instance of XStream for deserialization without any type filtering and this can lead to Remote Code Execution when deserializing XML payloads. -- Apache Struts 民间平安告示(参考1)
2017年9月5日,Apache Struts宣布最新平安通知布告,Apache Struts2的REST插件存在长途代码履行的高危破绽,该破绽由lgtm.com的平安研究员报告请示,破绽编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化破绽,应用XStream组件对XML格局的数据包停止反序列化操纵时,未对数据内容停止有用验证,存在平安隐患,可被长途进击。
Struts2启用了rest-plugin后并编写并设置了XStreamHandler后,能够招致长途敕令履行这一重大成绩。
0x01 破绽影响面
影响面
肯定CVE-2017-9805为高危破绽。 现实场景中存在必定局限性,必要满意必定前提,非struts自己默许开启的组件。
影响版本
Version 2.5.0 to 2.5.12
Version 2.3.0 to 2.3.33
修复版本
Struts 2.5.13
Struts 2.3.34
0x02 破绽概况
技巧细节

文件/org/apache/struts2/rest/ContentTypeInterceptor.java
在struts2 rest-plugin 中的处置逻辑里接遭到对应格局的新闻时,会挪用曾经注册的对应handler的 handler.toObject办法对其停止实例化,在这里传入的xml新闻,以是就会跳转到曾经界说的XStreamHandler的toObject办法

在颠末此处的fromXML办法后招致实例化的歹意对象被履行,招致歹意代码履行

随即看到计算器被胜利弹出
破绽修复

新版本中增加了XStreamPermissionProvider

而且对本来有成绩的createXStream停止重写,增加了校验,回绝不平安的类履行
0x03 破绽应用验证

0x04 修复倡议
1.民间倡议设置插件处置的数据范例限定为json
2.升级Struts到2.5.13版本或2.3.34版本
3.在XStreamHandler中停止数据校验或反省

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载