漏洞编号：CVE-2017-9805

　　漏洞作者：Man Yue Mo <mmo at semmle dot com>

　　影响版本：Struts 2.5 - Struts 2.5.12

　　漏洞等级：严重

　　漏洞简述：当启用 Struts REST的XStream handler去反序列化处理XML请求，可能造成远程代码执行漏洞。

　　漏洞描述：

　　当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例，可能导致在处理XML时造成远程代码执行漏洞。

　　漏洞POC：暂无

　　修复建议：

　　1. 升级Apache struts 2.5.13版本

　　2. 如果系统没有使用Struts REST插件，那么可以直接删除Struts REST插件，或者在配置文件中加入如下代码，限制服务端文件的扩展名

　　1

　　<constant name="struts.action.extension"value="xhtml,,json"/>

　　参考：

　　https://cwiki.apache.org/confluence/display/WW/S2-052