Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Struts 2」に複数の脆弱性 - 修正版が公開

「Apache Struts 2」に任意のスクリプトが実行可能となる脆弱性が複数含まれていることがわかった。

「同2.3.16.3」や以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が含まれていることが明らかとなったもの。いずれも日本国内から報告を受けた脆弱性だった。

脆弱性情報のポータルサイトであるJVNによれば、「CVE-2015-2992」が存在し、JSPファイルに対して直接アクセスできる場合、 「Internet Explorer」上で、任意のスクリプトを実行される可能性がある。

またクロスサイトスクリプティングが可能となる「CVE-2015-5169」が含まれており、開発モードを有効化している場合、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

「CVE-2015-2992」は、三井物産セキュアディレクション(MBSD)の諌山貴由氏、「CVE-2015-5169」はラックの吉川允樹氏がそれぞれ情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。いずれの脆弱性も「同2.3.20」にて修正されている。

(Security NEXT - 2015/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

DB管理ツール「phpMyAdmin」に深刻な脆弱性 - 修正版が公開
「Firefox 64」がリリース - 深刻な脆弱性などを修正
MS、2018年最後の月例セキュリティ更新 - 一部脆弱性でゼロデイ攻撃も
「Adobe Acrobat/Reader」、脆弱性87件に対処 - 当初予定より高い重要度
iOS用「ノートン」に新版 - ローカルVPN利用の不正サイト対策など搭載
「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ
ウェブセキュリティの知見問う「徳丸試験」 - 2019年12月より開始
学生がフィッシング被害、迷惑メール約29万件の踏み台に - 新潟大
モバイルアプリの脆弱性診断サービス - インテック
生活保護受給者名簿が所在不明、車の屋根に置き忘れ - 高岡市