「Apache Struts 2」に複数の脆弱性 - 修正版が公開
「Apache Struts 2」に任意のスクリプトが実行可能となる脆弱性が複数含まれていることがわかった。
「同2.3.16.3」や以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性が含まれていることが明らかとなったもの。いずれも日本国内から報告を受けた脆弱性だった。
脆弱性情報のポータルサイトであるJVNによれば、「CVE-2015-2992」が存在し、JSPファイルに対して直接アクセスできる場合、 「Internet Explorer」上で、任意のスクリプトを実行される可能性がある。
またクロスサイトスクリプティングが可能となる「CVE-2015-5169」が含まれており、開発モードを有効化している場合、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。
「CVE-2015-2992」は、三井物産セキュアディレクション(MBSD)の諌山貴由氏、「CVE-2015-5169」はラックの吉川允樹氏がそれぞれ情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。いずれの脆弱性も「同2.3.20」にて修正されている。
(Security NEXT - 2015/09/07 )
ツイート
関連リンク
PR
関連記事
メルマガ送信サービスで情報流出、影響範囲など調査 - ディライトフル
個人情報の保存先を誤り、意図せず学生に共有 - 近畿大
配付名簿に不同意者の個人情報、法令を誤解釈 - 阿南市
「Plesk」のXML API関連に複数の深刻な脆弱性
MS 365アカウントや学生団体サイトの侵害が判明 - 富山県立大
紛失を隠蔽するため文書を偽造、職員を処分 - 海老名市
プリンタ「HP DeskJet 2800シリーズ」に脆弱性 - 機密情報漏洩のおそれ
リモートアクセスツール「UltraVNC」に複数の脆弱性
「Dell PowerProtect Data Domain」に143件の脆弱性 - 修正版が公開
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
