据 HackerNews.cc 5 日消息，Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞（CVE-2017-9805），在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时， ○  不使用 Struts REST插件时将其删除，或仅限于服务器普通页面和 JSONs：

○  目前经知道创宇安全团队进一步分析和确认，...

就在两个星期前的 3 月 6 日，Apache 发布公告称旗下 J2EE 框架 Strtus2 存在远程代码执行漏洞，并将此漏洞编号为 S2-045，漏洞级别为高危。 在官方发布公告后，有黑客随即公布了该漏洞利用方法，仅漏洞公布后 24 小时内，知道创宇旗下云防护产品创宇盾即截获针对平台防护网站的 6 万余次攻击，且随着漏洞利用方法的大范围扩散，攻击次数急剧上升，并在利用方法公布 13 个小时内，疑似高级黑客已完成全球网站扫荡，...

近日，Apache 官网公布编号为 S2-045 的 Struts 远程代码执行漏洞，漏洞级别为高危。 据知道创宇云安全平台监测数据显示，从 7 日中午 12 时，出现大规模攻击，晚上 2 点达到峰值，随后持续高频率攻击。而此次攻击数量增加的原因为【S2-045】Struts 漏洞的 poc 被公开。 【S2-045】Struts 漏洞触发点主要存在使用基于 Jakarta 插件的文件上传功能，该漏洞可直接通过浏览器在远程服务器上执行任意系统命令，将会对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。...