安全公告/【CVE-2018-1327】

基本信息

漏洞描述

Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。 Apache Struts2存在拒绝服务漏洞。由于Apache Struts2的REST插件，使用XStream组件对XML格式的数据包进行反序列化操作，且未对数据内容进行有效验证时，攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。

修复方式

将 Struts2 升级到 2.5.16 及以上版本，下载地址：
https://archive.apache.org/dist/struts/
https://struts.apache.org/download

漏洞判定

版本比对检测原理：检查当前系统中Struts2版本是否在受影响版本内|版本比对检测结果：- Struts2
  当前安装版本：2.2.3
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/OACRON/WEB-INF/lib/struts2-core-2.2.3.jar
该主机存在此漏洞

参考

CVE-2018-1327，CNVD-2018-06540，，CNNVD-201803-946