CVE-2017-9805 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Struts2 REST 插件存在远程代码执行（RCE）漏洞。 💥 **后果**：攻击者可利用 XStream 反序列化 XML 载荷，直接在服务器执行任意命令，导致服务器被完全控制。

🔍 **缺陷点**：REST 插件在处理传入 URL 请求时，使用 XStream 实例处理反序列化 XML 有效载荷。 ⚠️ **原因**：未对反序列化数据进行严格校验，导致恶意构造的 XML 被解析并执行。

📦 **受影响组件**：Apache Struts 2 REST Plugin。 📅 **高危版本**： - 2.5.x 系列：2.5.0 至 2.5.12 - 2.1.x/2.3.x 系列：2.1.2 至 2.3.33

👑 **权限**：获得服务器 **SYSTEM/Root** 权限。 📂 **数据**：可读取、修改、删除服务器任意文件；可植入后门、挖矿木马或横向移动。

🚪 **门槛**：**低**。 🔑 **认证**：通常无需认证，直接通过 HTTP 请求发送恶意 XML 即可触发。 ⚙️ **配置**：只要启用了 REST 插件且版本在范围内，即存在风险。

💣 **Exp 现状**：**有现成 PoC**。 🔗 多个 GitHub 仓库提供 Python/Go/Ruby 脚本（如 `struts-pwn`），支持单目标检测、批量扫描及直接执行命令。

🔎 **自查方法**： 1. 检查 Struts 版本是否在受影响列表。 2. 使用提供的 PoC 脚本（如 `struts-pwn.py`）对目标 URL 进行探测。 3. 监控日志中是否有异常的 XML 解析错误或非正常 POST 请求。

🛡️ **官方修复**：已修复。 📝 **参考**：Apache 官方发布了 S2-052 安全公告，建议升级至安全版本。

⚠️ **临时规避**： 1. **升级**：立即升级 Struts2 至最新安全版本。 2. **禁用**：若无法升级，考虑禁用 REST 插件。 3. **WAF**：配置 WAF 拦截包含 XStream 特征或恶意 XML 结构的请求。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：该漏洞利用简单、危害极大（RCE），且已有广泛可用的自动化攻击工具，建议 **立即** 进行补丁更新或临时加固。