「Apache Struts 2」に複数の脆弱性 - 修正版が公開

「Apache Struts 2」に任意のスクリプトが実行可能となる脆弱性が複数含まれていることがわかった。

「同2.3.16.3」や以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が含まれていることが明らかとなったもの。いずれも日本国内から報告を受けた脆弱性だった。

脆弱性情報のポータルサイトであるJVNによれば、「CVE-2015-2992」が存在し、JSPファイルに対して直接アクセスできる場合、 「Internet Explorer」上で、任意のスクリプトを実行される可能性がある。

またクロスサイトスクリプティングが可能となる「CVE-2015-5169」が含まれており、開発モードを有効化している場合、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

「CVE-2015-2992」は、三井物産セキュアディレクション（MBSD）の諌山貴由氏、「CVE-2015-5169」はラックの吉川允樹氏がそれぞれ情報処理推進機構（IPA）へ報告。JPCERTコーディネーションセンターが調整を行った。いずれの脆弱性も「同2.3.20」にて修正されている。

（Security NEXT - 2015/09/07 ） ツイート

PR

関連記事

複数のAdobe製品に脆弱性 - アップデートがリリース
VMware、複数製品向けにセキュリティアップデートを公開
Zoomに深刻な脆弱性、悪意ある会議URL開くと攻撃受けるおそれも
Palo Alto Networks製品に脆弱性 - 反射型DoS攻撃の踏み台となるおそれ
出光クレジットの会員サイトで情報流出の可能性 - 外部サービスが改ざん
「Google翻訳」悪用したフィッシングが横行 - 誘導先を正規ドメインに偽装
「Apache Hadoop」にコマンドインジェクションの脆弱性
サーバがランサム被害、情報流出の有無は判断つかず - 住和港運
VMware製IDアクセス管理製品の脆弱性を狙うあらたな悪用コードが公開
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートにて修正