据 HackerNews.cc 5 日消息，Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞（CVE-2017-9805），在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时，没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。 影响范围： ○ Struts 2.5 – Struts 2.5.12 ** 自 2008 年以来的所有版本 Struts2 都会受到影响 解决方案： ○ 目前网络上已有 POC （未经验证）公布，请用户尽快升级 Apache Struts 版本至 2.5.13； ○  不使用 Struts REST插件时将其删除，或仅限于服务器普通页面和 JSONs： <constant name=”struts.action.extension” value=”xhtml,,json” /> ○  目前经知道创宇安全团队进一步分析和确认，创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击 相关信息： ○ 官方发布的详细内容：https://cwiki.apache.org/confluence/display/WW/S2-052 ○ SeeBug 漏洞报告：https://www.seebug.org/vuldb/ssvid-96420