公開日:2015/09/04 最終更新日:2017/07/25

JVN#88408929
Apache Struts におけるクロスサイトスクリプティングの脆弱性

概要

Apache Struts には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • Apache Struts 2.3.20 より前のバージョン
Apache Struts 1 への影響の有無は不明です。
なお、Apache Struts 1 は、2013年4月5日付けでサポート終了 (EOL) が宣言されています。

詳細情報

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。Apache Struts には、JSP ファイルに対し直接アクセスが可能な場合、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

XSS フィルタが無効になっているユーザの Internet Explorer 上で、任意のスクリプトを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。

また、開発者はさらに以下の対応も推奨しています:

  • 直接アクセスできないように JSP ファイルを WEB-INF フォルダ内に移動する
  • web.xml にセキュリティ設定を追記する

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2015/11/06
ジェイティ エンジニアリング株式会社 該当製品無し 2015/09/05
日本電気株式会社 該当製品あり 2017/07/21

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:N/AC:M/Au:N/C:N/I:P/A:N
基本値: 4.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産 セキュアディレクション 諌山 貴由 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-2992
JVN iPedia JVNDB-2015-000124

更新履歴

2015/09/07
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました。「影響を受けるシステム」を更新しました。
2015/11/06
アライドテレシス株式会社のベンダステータスが更新されました
2015/12/22
日本電気株式会社のベンダステータスが更新されました
2017/07/25
日本電気株式会社のベンダステータスが更新されました