「Apache Struts」に深刻な脆弱性 - リモートよりコード実行のおそれ

「Apache Struts」に深刻な脆弱性が明らかとなった。開発チームでは、「同6.4.0」以降を利用するよう注意を呼びかけている。

11月26日に公開したアドバイザリにおいて、ファイルのアップロード機能に起因するパストラバーサルの脆弱性「CVE-2024-53677」について明らかにしたもの。

悪意あるファイルがアップロードされ、リモートよりコードを実行されるおそれがある。2023年12月のアドバイザリで言及された「CVE-2023-50164」と同様の問題だという。

「同6.3.0.2」「同2.5.33」および以前のバージョンが影響を受ける。サポートが終了している「同2.3.37」および以前のバージョンも対象。ただし、「FileUploadInterceptor」を利用していないアプリケーションは脆弱性の影響を受けない。

共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.5」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングした。

脆弱性の回避策はなく、開発チームでは現地時間4月19日に公開した「同6.4.0」以降に更新し、あたらしいアップロード機能を利用するよう呼びかけている。

（Security NEXT - 2024/12/12 ） ツイート

PR

関連記事

医師の経験症例リスト含むUSBメモリが所在不明 - 新潟大医歯学総合病院
県立高で学習管理サービスに成績一覧を誤掲載 - 埼玉県
大阪マラソンのボランティアシステムで個人情報流出 - 認証を誤ってオフに
開発テスト環境から顧客情報流出、外部からの指摘で発覚 - 阿波銀
子会社がランサム被害、受注出荷に影響も生産継続 - 九州電子
「制御システムのセキュリティリスク分析ガイド」2026年4月版を公開 - IPA
「Amazon Athena ODBCドライバ」に脆弱性 - 修正版がリリース
先週注目された記事（2026年3月29日〜2026年4月4日）
「MS Edge」にセキュリティ更新 - KEV登録済みゼロデイ脆弱性を修正
「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を