公開日:2013/09/06 最終更新日:2013/09/06

JVN#33504150
Apache Struts において任意のコマンドを実行される脆弱性

概要

Apache Struts には、任意のコマンドを実行される脆弱性が存在します。

影響を受けるシステム

  • Apache Struts 2.0.0 から 2.3.15 まで

詳細情報

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、任意のコマンドを実行される脆弱性が存在します。

本件は、7月16日に開発者が公開した S2-016 の脆弱性と同じものです。

なお、本脆弱性を使用した攻撃活動が確認されています。

想定される影響

Apache Struts が設置されているサーバ上で任意のコマンドを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
Apache Software Foundation S2-016 - A vulnerability introduced by manipulating parameters prefixed with "action:"/"redirect:"/"redirectAction:" allows remote command execution
Struts 2.3.15.1

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏

関連文書

JPCERT 緊急報告 JPCERT-AT-2013-0033
Apache Struts の脆弱性 (S2-016) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-2251
JVN iPedia JVNDB-2013-003469