Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要
Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任
意のコードが実行されてしまう脆弱性が報告されています。脆弱性を利用され
ることにより、攻撃者に侵入されることや意図しない動作を強制されてしまう
可能性があるため、ソフトウェアのアップデートや設定の変更により対策する
ことを推奨します。
----------------------------------------------------------------------
◆分析者コメント
Apache Struts 2 には、2016 年 4 月に当該脆弱性 CVE-2016-3081 (s2-032)
の他にも遠隔コード実行が可能な脆弱性 CVE-2016-0785 (s2-029) が報告され
ており、攻撃コードも公開されてます。本記事で取り上げている脆弱性と併せ
て攻撃者に利用されてしまう可能性があるため、可能であればアップデートに
より対策することを推奨します。
----------------------------------------------------------------------
◆深刻度(CVSS)
[CVSS v2]
9.3
https://nvd.nist.gov/cvss/v2-calculator?name=CVE-2016-3081&vector=(AV:N/AC:M/Au:N/C:C/I:C/A:C)
[CVSS v3]
8.1
https://nvd.nist.gov/cvss/v3-calculator?name=CVE-2016-3081&vector=AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
----------------------------------------------------------------------
◆影響を受けるソフトウェア
以下のバージョンの Struts が当該脆弱性の影響を受けます。

- 2.x 系の 2.3.20.2 未満
- 2.3.24.x 系の 2.3.24.2 未満
- 2.3.28.x 系の 2.3.28.1 未満

----------------------------------------------------------------------
◆解説
Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任
意のコードが実行されてしまう脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop