Apache Struts においてタグに含まれた OGNL 式の二重評価により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2026.06.28(日)

Apache Struts においてタグに含まれた OGNL 式の二重評価により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)

2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。

脆弱性と脅威 エクスプロイト
739 views
facebookLINE
struts.apache.org
struts.apache.org 全 1 枚 拡大写真

◆概要
 2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。攻撃者が脆弱性の悪用に成功した場合は、脆弱な Apache Struts が稼働しているサーバへの侵入が可能となります。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 Apache Struts は世界的に利用者が多く、攻撃者の注目度が高いソフトウェアであるため、脆弱性が発見されると攻撃者に狙われる傾向が強いソフトウェアです。JPCERT/CC からも注意喚起が出ている(関連情報 [2])ため、Apache Struts を運用している場合は、早急な対策が求められます。

◆深刻度(CVSS)
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-31805&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 Apache Struts のバージョン 2.0.0 から 2.5.30 未満のバージョンが当該脆弱性の影響を受けると報告されています。

◆解説
 Java による Web アプリケーション構築フレームワークである Apache Struts に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 狙われたのは忘れられたシステム ~ サイバー攻撃被害企業が語ったインシデント対応の現実

    狙われたのは忘れられたシステム ~ サイバー攻撃被害企業が語ったインシデント対応の現実

  2. セキュリティシステムの誤検知で「お問い合わせ内容の通知メール」が不通に

    セキュリティシステムの誤検知で「お問い合わせ内容の通知メール」が不通に

  3. KDDIのISP事業者向けメールシステムに不正アクセス、最大1,422万件のメールアドレス・パスワードが漏えいした可能性

    KDDIのISP事業者向けメールシステムに不正アクセス、最大1,422万件のメールアドレス・パスワードが漏えいした可能性

  4. 山一電機 フィリピン子会社にランサムウェア攻撃、ログの暗号化と削除が行われ初期侵入経路の完全な特定に至らず

    山一電機 フィリピン子会社にランサムウェア攻撃、ログの暗号化と削除が行われ初期侵入経路の完全な特定に至らず

  5. 個人情報部分を非表示処理にとどめた状態を削除済みと誤認 ~ 川越商工会議所で会員データを外部に送信

    個人情報部分を非表示処理にとどめた状態を削除済みと誤認 ~ 川越商工会議所で会員データを外部に送信

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP