由Lukasz Lenart创建，最后一次修改是在昨天晚上7点43分。

　　概要

　　当使用带有XStream处理程序的Struts REST插件来处理XML有效负载时，可能会发生远程执行代码攻击

　　问题

　　REST插件正在使用 XStreamHandler XStream的实例进行反序列化，而不进行任何类型过滤，这可能导致在反序列化XML有效内容时执行远程执行代码。

　　解决办法

　　升级到Apache Struts版本2.5.13或2.3.34。

　　向后兼容性

　　由于应用的可用类的默认限制，某些REST操作可能会停止工作。在这种情况下，请调查介绍的新接口以允许每个操作定义类限制，那些接口是：

　　apache.struts2.rest.handler.AllowedClasses

　　apache.struts2.rest.handler.AllowedClassNames

　　apache.struts2.rest.handler.XStreamPermissionProvider

　　应急办法

　　可能没有彻底解决办法，目前最好的方式就是在不使用的时候删除Struts REST插件，或者将其限制在服务器正常的页面和JSONs中:　

责任编辑：韩希宇