遠端主機上執行的 Apache Struts 版本為 2.1.x 後繼版本，或是 2.1.2、2.2.x、比 2.3.34 舊的 2.3.x 版或比 2.5.13 舊的 2.5.x 版。因此受到多個弱點影響：- 在 REST 外掛程式中，有一個遠端程式碼執行弱點存在。Struts REST 外掛程式使用的 XStreamHandler 具有用於還原序列化的 XStream 執行個體，在對 XML 承載進行還原序列化時，並未執行任何類型的篩選作業。未經驗證的遠端攻擊者可藉此透過傳送特製的 XML 承載，在 Struts REST 外掛程式內容中執行任意程式碼。(CVE-2017-9805) - 在 REST 外掛程式所使用的 XStreamHandler 中，XStream XML 還原序列化程式裡有一個拒絕服務弱點存在。(CVE-2017-9793) - 使用 URLValidator 時，有一個拒絕服務弱點存在。(CVE-2017-9804) - 有一個與「freemarker」標籤、運算式常值、「views/freemarker/FreemarkerManager.java」及強制運算式有關的缺陷存在，攻擊者可藉以執行任意程式碼。(CVE-2017-12611) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

偵測

Apache Struts 2.1.x >= 2.1.2 / 2.2.x / 2.3.x < 2.3.34 / 2.5.x < 2.5.13 Multiple Vulnerabilities (S2-050 - S2-053)

critical Nessus Plugin ID 102960

版本 1.21