独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月8日、Apache Struts 2における外部からアクセス可能なファイルの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
The Apache Software Foundationが提供するApache Struts 2には、外部からアクセス可能なファイルの脆弱性(CVE-2023-50164)が存在する。影響を受けるシステムは次の通り。
・Apache Struts 2.5.0から2.5.32
・Apache Struts 6.0.0から6.3.0
この脆弱性は、ファイルアップロード時のパラメータ操作によってパストラバーサルが発生し、悪意のあるファイルをアップロードすることが可能となる。悪用されると、攻撃者によって細工されたファイルをアップロードされ、結果として任意のコードが実行される可能性がある。
JVNでは開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。この脆弱性は、次のバージョンで修正されている。
・Struts 2.5.33 およびそれ以降
・Struts 6.3.0.2 およびそれ以降
