「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN) | ScanNetSecurity
2022.12.06(火)

「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN)

JPCERT/CCは、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月23日、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。これは、Apache Software Foundationが公開したもので、リモートの攻撃者が、細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバにおいて、任意のコードが実行される可能性がある。対象となるのは、次のバージョン。

Apache Struts 2
・2.3 系列 2.3.35 より前のバージョン
・2.5 系列 2.5.17 より前のバージョン

同脆弱性(CVE-2018-11776)は、Apache Struts 2 の処理に起因するもので、Struts の設定ファイル(struts.xml など)で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいはURLタグの記述において value か action の値が指定されていない場合に影響を受ける。

Apache Software Foundationでは、同脆弱性の深刻度を「Critical」と評価しており、脆弱性を解消したバージョン「2.3 系列 2.3.35」「2.5 系列 2.5.17」を公開している。JPCERT/CCでは、十分なテストを実施の上、修正済みバージョンを適用することを強く勧めている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×