Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Struts 2」に複数の脆弱性 - 修正版が公開

「Apache Struts 2」に任意のスクリプトが実行可能となる脆弱性が複数含まれていることがわかった。

「同2.3.16.3」や以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が含まれていることが明らかとなったもの。いずれも日本国内から報告を受けた脆弱性だった。

脆弱性情報のポータルサイトであるJVNによれば、「CVE-2015-2992」が存在し、JSPファイルに対して直接アクセスできる場合、 「Internet Explorer」上で、任意のスクリプトを実行される可能性がある。

またクロスサイトスクリプティングが可能となる「CVE-2015-5169」が含まれており、開発モードを有効化している場合、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

「CVE-2015-2992」は、三井物産セキュアディレクション(MBSD)の諌山貴由氏、「CVE-2015-5169」はラックの吉川允樹氏がそれぞれ情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。いずれの脆弱性も「同2.3.20」にて修正されている。

(Security NEXT - 2015/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

個情委、「LINE」情報漏洩でLINEヤフーに勧告 - 「ヤフオク!」に関する指導も
「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新
NTTドコモ、スミッシング攻撃の踏み台端末に注意喚起 - 7月上旬から
子会社従業員が有効期限間近のデジタルギフトを不正入手 - デジタルプラス
MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処
「GitLab」にセキュリティアップデート - 脆弱性2件を修正
Cisco、セキュリティアドバイザリ17件を公開
サイバー攻撃で狙われ、悪用される「正規アカウント」
産業制御システムのインシデント対応に必要な機能を解説した手引書
ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を