Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.25(木)

Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

Apache Struts のバージョン 2 系に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

Apache Struts のバージョン 2 系に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。脆弱なバージョンの Struts でアプリケーションを作成している場合は、当該脆弱性の影響を受けます。ソフトウェアのアップデートにより、脆弱性に対策してください。

◆分析者コメント

当該脆弱性は任意のコードが実行可能となるものです。アプリケーションの設定面での前提条件が必要とはなりますが、REST API を用いたアプリケーションである場合は脆弱性の影響を受ける可能性が高いと考えられます。攻撃者が脆弱性の悪用に成功した場合は、Struts の土台となるサーバの実行権限で、対象ホストへの侵入が可能となる脆弱性であるため、アップデートにより対策することを推奨します。

◆深刻度(CVSS)

[CVSS v2]
なし

[CVSS v3]
8.1
https://access.redhat.com/security/cve/cve-2017-9805

※本記事執筆時点 (2017 年 9 月 14 日) で NVD に情報公開がないため、 Red Hat 社の情報に従っています。

◆影響を受けるソフトウェア

Struts 2.1.2 ~ 2.3.33 および 2.5 ~ 2.5.12 が当該脆弱性の影響を受けると報告されています。

◆解説

Apache 財団が公開している Web アプリケーション開発のフレームワークである Struts に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

特集

関連記事

PageTop

アクセスランキング

  1. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  2. レッドチーム演習大成功 丸五か月間誰も気づけず

    レッドチーム演習大成功 丸五か月間誰も気づけず

  3. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  4. イセトーへのランサムウェア攻撃で伊予銀行の顧客情報が漏えい

    イセトーへのランサムウェア攻撃で伊予銀行の顧客情報が漏えい

  5. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

ランキングをもっと見る
PageTop