漏洞描述
在Struts REST插件中使用XStream处理程序时,攻击者使用构造恶意的XML请求执行,发起DoS攻击。
漏洞作者
Yevgeniy Grushka & Alvaro Munoz from HPE
漏洞编号
CVE-2018-1327
影响版本
Struts 2.1.1 – Struts 2.5.14.1
威胁等级
中
修复方案
1.升级到Apache Struts的版本2.5.16。
2.基于Apache Struts 2.5.16中的Jackson XML处理程序实现自定义XML处理程序:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers
相关链接
https://cwiki.apache.org/confluence/display/WW/S2-056
http://struts.apache.org/plugins/rest/#custom-contenttypehandlers
指尖安全小组,后续会跟进此漏洞。