Apache Struts Deserialization of Untrusted Data Vulnerability — Apache Struts REST Plugin uses an XStreamHandler with an instance of XStream for deserialization without any type filtering, which can lead to remote code execution when deserializing XML payloads.
Apache Struts REST Plugin fails to filter data types during XML deserialization using XStream, allowing attackers to execute arbitrary code remotely. This critical vulnerability affects all Struts applications using the REST plugin without proper input validation.
تحتوي ثغرة CVE-2017-9805 على عيب في معالج XStreamHandler الذي يفك تسلسل بيانات XML دون تصفية أنواع البيانات. يمكن للمهاجمين استغلال هذا لتنفيذ أوامر عشوائية بامتيازات التطبيق. الثغرة تؤثر على جميع إصدارات Struts التي تستخدم مكون REST.
يفشل مكون REST في Apache Struts في تصفية أنواع البيانات أثناء فك تسلسل XML باستخدام XStream، مما يسمح للمهاجمين بتنفيذ أكواد عشوائية عن بعد. تؤثر هذه الثغرة الحرجة على جميع تطبيقات Struts التي تستخدم مكون REST بدون التحقق المناسب من المدخلات.
Immediately upgrade Apache Struts to version 2.3.32, 2.5.10.1, or later. Disable the REST plugin if not required. Implement strict input validation and XML parsing restrictions. Apply network segmentation to limit exposure of Struts applications.
قم بالترقية الفورية إلى Apache Struts الإصدار 2.3.32 أو 2.5.10.1 أو أحدث. عطّل مكون REST إذا لم يكن مطلوباً. طبّق التحقق الصارم من المدخلات وقيود معالجة XML. طبّق تقسيم الشبكة لتحديد التعرض.