「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN) | ScanNetSecurity
2026.04.06(月)

「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN)

JPCERT/CCは、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
35 views
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月23日、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。これは、Apache Software Foundationが公開したもので、リモートの攻撃者が、細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバにおいて、任意のコードが実行される可能性がある。対象となるのは、次のバージョン。

Apache Struts 2
・2.3 系列 2.3.35 より前のバージョン
・2.5 系列 2.5.17 より前のバージョン

同脆弱性(CVE-2018-11776)は、Apache Struts 2 の処理に起因するもので、Struts の設定ファイル(struts.xml など)で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいはURLタグの記述において value か action の値が指定されていない場合に影響を受ける。

Apache Software Foundationでは、同脆弱性の深刻度を「Critical」と評価しており、脆弱性を解消したバージョン「2.3 系列 2.3.35」「2.5 系列 2.5.17」を公開している。JPCERT/CCでは、十分なテストを実施の上、修正済みバージョンを適用することを強く勧めている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. Microsoft Defender SmartScreen の誤検知で受講システムへのアクセスに不具合

    Microsoft Defender SmartScreen の誤検知で受講システムへのアクセスに不具合

  2. DNP、自治体職員向けサイバーセキュリティ研修プログラム提供

    DNP、自治体職員向けサイバーセキュリティ研修プログラム提供

  3. バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

    バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

  4. 福岡教育大学で Google グループのアクセス権限設定不備、計 142 名の個人情報が閲覧可能な状態に

    福岡教育大学で Google グループのアクセス権限設定不備、計 142 名の個人情報が閲覧可能な状態に

  5. あいちトリエンナーレ メール配信システムへ不正アクセス、「期限は1月11日午後3時34分ナリ」弁護士騙り金銭要求自演

    あいちトリエンナーレ メール配信システムへ不正アクセス、「期限は1月11日午後3時34分ナリ」弁護士騙り金銭要求自演

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP