Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Struts 2」に複数の脆弱性 - 修正版が公開

「Apache Struts 2」に任意のスクリプトが実行可能となる脆弱性が複数含まれていることがわかった。

「同2.3.16.3」や以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が含まれていることが明らかとなったもの。いずれも日本国内から報告を受けた脆弱性だった。

脆弱性情報のポータルサイトであるJVNによれば、「CVE-2015-2992」が存在し、JSPファイルに対して直接アクセスできる場合、 「Internet Explorer」上で、任意のスクリプトを実行される可能性がある。

またクロスサイトスクリプティングが可能となる「CVE-2015-5169」が含まれており、開発モードを有効化している場合、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

「CVE-2015-2992」は、三井物産セキュアディレクション(MBSD)の諌山貴由氏、「CVE-2015-5169」はラックの吉川允樹氏がそれぞれ情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。いずれの脆弱性も「同2.3.20」にて修正されている。

(Security NEXT - 2015/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WordPress」の脆弱性、重要ファイル削除のおそれ - コード実行の可能性も
「VMware Tools」に権限昇格のおそれ - アップデートがリリース
ID管理製品「RSA Identity Governance & Lifecycle」に深刻な脆弱性
高校で個人情報含むUSBメモリを紛失 - 埼玉県
NEC製ルータやネットワークカメラに複数脆弱性 - 悪用には管理者権限必要
フィッシング対策や脆弱性公開に尽力した専門家に感謝状 - JPCERT/CC
6月のマルウェア検出、3割弱減 - 「MS17-010」悪用が増加
アンケートシステムに不正アクセス、個人情報が流出 - Z会グループ会社
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用
脆弱性緩和ツール「EMET」、7月31日にサポート終了 - 「Windows 7」環境などに影響