「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN) | ScanNetSecurity
2025.12.04(木)

「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN)

JPCERT/CCは、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
35 views
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月23日、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。これは、Apache Software Foundationが公開したもので、リモートの攻撃者が、細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバにおいて、任意のコードが実行される可能性がある。対象となるのは、次のバージョン。

Apache Struts 2
・2.3 系列 2.3.35 より前のバージョン
・2.5 系列 2.5.17 より前のバージョン

同脆弱性(CVE-2018-11776)は、Apache Struts 2 の処理に起因するもので、Struts の設定ファイル(struts.xml など)で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいはURLタグの記述において value か action の値が指定されていない場合に影響を受ける。

Apache Software Foundationでは、同脆弱性の深刻度を「Critical」と評価しており、脆弱性を解消したバージョン「2.3 系列 2.3.35」「2.5 系列 2.5.17」を公開している。JPCERT/CCでは、十分なテストを実施の上、修正済みバージョンを適用することを強く勧めている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 新報国マテリアルにランサムウェア攻撃、ファイルの一部暗号化とバックアップデータ等の一部削除を確認

    新報国マテリアルにランサムウェア攻撃、ファイルの一部暗号化とバックアップデータ等の一部削除を確認

  2. 感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

    感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

  3. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  4. 木更津市 黒塗りして 個人情報漏えい

    木更津市 黒塗りして 個人情報漏えい

  5. FortiGate の SSL-VPN 廃止受けた設定最適化サービス

    FortiGate の SSL-VPN 廃止受けた設定最適化サービス

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP