「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN) | ScanNetSecurity
2026.05.03(日)

「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN)

JPCERT/CCは、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
35 views
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月23日、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。これは、Apache Software Foundationが公開したもので、リモートの攻撃者が、細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバにおいて、任意のコードが実行される可能性がある。対象となるのは、次のバージョン。

Apache Struts 2
・2.3 系列 2.3.35 より前のバージョン
・2.5 系列 2.5.17 より前のバージョン

同脆弱性(CVE-2018-11776)は、Apache Struts 2 の処理に起因するもので、Struts の設定ファイル(struts.xml など)で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいはURLタグの記述において value か action の値が指定されていない場合に影響を受ける。

Apache Software Foundationでは、同脆弱性の深刻度を「Critical」と評価しており、脆弱性を解消したバージョン「2.3 系列 2.3.35」「2.5 系列 2.5.17」を公開している。JPCERT/CCでは、十分なテストを実施の上、修正済みバージョンを適用することを強く勧めている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

    保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

  2. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  3. FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

    FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

  4. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

  5. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP