一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月23日、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。これは、Apache Software Foundationが公開したもので、リモートの攻撃者が、細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバにおいて、任意のコードが実行される可能性がある。対象となるのは、次のバージョン。Apache Struts 2・2.3 系列 2.3.35 より前のバージョン・2.5 系列 2.5.17 より前のバージョン同脆弱性(CVE-2018-11776)は、Apache Struts 2 の処理に起因するもので、Struts の設定ファイル(struts.xml など)で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいはURLタグの記述において value か action の値が指定されていない場合に影響を受ける。Apache Software Foundationでは、同脆弱性の深刻度を「Critical」と評価しており、脆弱性を解消したバージョン「2.3 系列 2.3.35」「2.5 系列 2.5.17」を公開している。JPCERT/CCでは、十分なテストを実施の上、修正済みバージョンを適用することを強く勧めている。
