◆概要
2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。攻撃者が脆弱性の悪用に成功した場合は、脆弱な Apache Struts が稼働しているサーバへの侵入が可能となります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
Apache Struts は世界的に利用者が多く、攻撃者の注目度が高いソフトウェアであるため、脆弱性が発見されると攻撃者に狙われる傾向が強いソフトウェアです。JPCERT/CC からも注意喚起が出ている(関連情報 [2])ため、Apache Struts を運用している場合は、早急な対策が求められます。
◆深刻度(CVSS)
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-31805&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
Apache Struts のバージョン 2.0.0 から 2.5.30 未満のバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
Java による Web アプリケーション構築フレームワークである Apache Struts に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
Apache Struts においてタグに含まれた OGNL 式の二重評価により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)
2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。
脆弱性と脅威
エクスプロイト
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
NIST CSF 2.0 リリース ~ 新たに追加された 6 番目の機能の役割
NIST による CSF の元のバージョン(および 1.1)を使用したことがある人は、その 5 つのコア機能(識別、防御、検知、対応、復旧)に馴染みがあるだろう。この 5 つの機能に欠けていたのが、CSF 2.0 で新たに追加された 6 つ目の機能「ガバナンス」である。
-
サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演
イスラエルのあるセキュリティアナリスト曰く、「サイバーインテリジェンスの9割はOSINTでいける」のだそうだ。真偽はともかく、だれでも合法に行うことができることだからといって、OSINTを侮るのは危険だ。
-
北 運営管理の賭博サイト/露 GPSスプーフィングで飛行妨害/安洵信息技術有限公司 社内情報流出 ほか [Scan PREMIUM Monthly Executive Summary 2024年2月度]
2 月は中国のセキュリティ企業である安洵信息技術有限公司(I-SOON)の社内情報が流出し、世間を賑わせました。同社は、中国の公安部、国家安全部、人民解放軍とも取引があり、APT への関与が指摘されています。