「Apache Struts 2」に複数の脆弱性 - 修正版が公開

「Apache Struts 2」に任意のスクリプトが実行可能となる脆弱性が複数含まれていることがわかった。

「同2.3.16.3」や以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が含まれていることが明らかとなったもの。いずれも日本国内から報告を受けた脆弱性だった。

脆弱性情報のポータルサイトであるJVNによれば、「CVE-2015-2992」が存在し、JSPファイルに対して直接アクセスできる場合、 「Internet Explorer」上で、任意のスクリプトを実行される可能性がある。

またクロスサイトスクリプティングが可能となる「CVE-2015-5169」が含まれており、開発モードを有効化している場合、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

「CVE-2015-2992」は、三井物産セキュアディレクション（MBSD）の諌山貴由氏、「CVE-2015-5169」はラックの吉川允樹氏がそれぞれ情報処理推進機構（IPA）へ報告。JPCERTコーディネーションセンターが調整を行った。いずれの脆弱性も「同2.3.20」にて修正されている。

（Security NEXT - 2015/09/07 ） ツイート

PR

関連記事

東京女子大ウェブショップで個人情報流出の可能性
北朝鮮グループ「Lazarus」が悪用する10種類のツール
ファイルサーバに不正アクセス、データ流出か - 丸紅グループ会社
メールアカウントに不正アクセス、スパム踏み台に - 静岡病院
保健所で新型コロナ接触者情報が流出 - 岐阜県
医療機関向けデータ管理システムの旧版に深刻な脆弱性
Chrome機能拡張の開発者をFacebookが告訴 - 個人情報収集で
SonicWall製セキュリティアプライアンスに脆弱性
新型コロナ拡大防止協力金申請者情報が流出 - 神奈川県
核物質使用者宛のメールで送信ミス、核防護情報は含まず - 原子力規制委