漏洞描述
Apache官方公告S2-054漏洞,CVEID CVE-2017-15707,用户在使用Struts REST插件时,如果使用默认的、过时的json-lib,这个库很容易受到攻击,允许通过特制的JSON payload构造恶意请求,则攻击者可以使用精心制作的JSON请求,实施DoS攻击。 用户需要尽快升级到 Struts 2.5.14.1 。
漏洞名称
S2-054
漏洞编号
CVE-2017-15707
漏洞作者
Huijun Chen, XiaoLong Zhu – 华为技术有限公司
威胁等级
中危
影响版本
Struts 2.5 – Struts 2.5.14
加固方案
升级到Apache Struts版本2.5.14.1。另一种解决方案是,使用Jackson处理程序替代默认的 JSON-lib处理程序 。
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-054
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler
http://toutiao.secjia.com/apache-s2-054-cve-2017-15707