JavaのWebアプリケーションフレームワークである「Apache Struts2」に脆弱性

Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているJavaのWebアプリケーションフレームワークである「Apache Struts2」に脆弱性が発見されたとJVNが公表した。

 

脆弱性タイプ

①XSS(クロスサイトスクリプティング)

※devMode が有効になっている場合

 

②XSS(クロスサイトスクリプティング)

 

(2件のXSSが発生しております)

 

想定被害

①ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性がある。

 

②XSS フィルタが無効になっているユーザの Internet Explorer 上で、任意のスクリプトを実行される可能性がある。

 

発見されたシステム・バージョン

①Apache Struts 2.3.20 より前のバージョン

※Apache Struts1の影響の有無は不明

 

②Apache Struts 2.3.20 より前のバージョン

※Apache Struts1の影響の有無は不明

 

対応方法

①開発者の情報を元に最新版(2.3.20)へアップデートする。アップデートで出来ない場合はdevMode を無効にすることにより本問題の影響を回避可能とのこと。

 

②開発者の情報を元に最新版(2.3.20)へアップデートする。さらに開発者は以下の対応も推奨している。

  • 直接アクセスできないように JSP ファイルを WEB-INF フォルダ内に移動する
  • web.xml にセキュリティ設定を追記する

 

Apache Strutsには1,2とあり、Apache Struts1もいまだに多くのサイトで使用されいるが、脆弱性が発見されており、また2013年4月5日付けでサポートが終了しているため、利用することはあまりお勧めできない。

Apache Struts2には前々から脆弱性情報が発見されており、そのたびに修正を繰り返してきている。

 

今回の脆弱性も早めのアップデートを実施し、対策したほうがよさそうです。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性