由Lukasz Lenart創(chuàng)建,最后一次修改是在昨天晚上7點(diǎn)43分.

概要

當(dāng)使用帶有XStream處理程序的Struts REST插件來(lái)處理XML有效負(fù)載時(shí),可能會(huì)發(fā)生遠(yuǎn)程執(zhí)行代碼攻擊

問(wèn)題

REST插件正在使用 XStreamHandler XStream的實(shí)例進(jìn)行反序列化,而不進(jìn)行任何類型過(guò)濾,這可能導(dǎo)致在反序列化XML有效內(nèi)容時(shí)執(zhí)行遠(yuǎn)程執(zhí)行代碼.

解決方法

升級(jí)到Apache Struts版本2.5.13或2.3.34.

向后兼容性

由于應(yīng)用的可用類的默認(rèn)限制,某些REST操作可能會(huì)停止工作.在這種情況下,請(qǐng)調(diào)查介紹的新接口以允許每個(gè)操作定義類限制,那些接口是：

• apache.struts2.rest.handler.AllowedClasses

• apache.struts2.rest.handler.AllowedClassNames

• apache.struts2.rest.handler.XStreamPermissionProvider

應(yīng)急方法

可能沒(méi)有徹底解決方法,目前最好的方式就是在不使用的時(shí)候刪除Struts REST插件,或者將其限制在服務(wù)器正常的頁(yè)面和JSONs中: