Apache Struts 2に任意のコードが実行可能な脆弱性が報告されました。
Apache Struts 2で構成されたサイトに対し、ユーザが不正なリクエストを送信することで、任意のJavaコードが実行される可能性があります。
この脆弱性を悪用する方法は公開されており、悪用が容易なため、速やかにバージョン2.3.14.2以降にアップデートすることを推奨します。
2.深刻度(CVSS)
現時点(2013/5/31)において、CVE-ID未割り当て
3.影響を受けるソフトウェア ※
Apache Struts 2.0.0 から 2.3.14.1
4.解説
Apache Struts 2の標準タグ
この脆弱性は任意のコードが実行される脆弱性「CVE-2013-1966」として一度バージョン2.3.14.1にて修正リリースされましたが、脆弱性の修正が不十分であったため、更に修正したバージョン2.3.14.2が公開されています。
5.対策
Apache Struts 2.3.14.2にアップデートすることでこの脆弱性を解消することが可能です。
Apache Struts 2.3.14.2
http://archive.apache.org/dist/struts/binaries/struts-2.3.14.2-all.zip
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー脅威分析センター)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
