公開日:2024/12/12 最終更新日:2024/12/12

JVNVU#91257897
Apache Struts 2のファイルアップロード処理に不備(S2-067)

概要

The Apache Software Foundationが提供するApache Struts 2には、ファイルアップロード処理に不備が存在します。

影響を受けるシステム

  • Apache Struts 2.5.0から2.5.33
  • Apache Struts 6.0.0から6.3.0.2
すでにEOL(End-Of-Life)となった、Apache Struts 2.0.0から2.3.37も本脆弱性の影響を受けます。

詳細情報

The Apache Software Foundationが提供するApache Struts 2には、ファイルアップロード処理に不備(CVE-2024-53677)が存在します。ファイルアップロード時のパラメータが細工された場合、悪意のあるファイルをアップロードされる可能性があります。
開発者は本脆弱性をS2-066(JVNVU#96961218で公表)と同様の問題と報告しています。

なお、File Upload Interceptorを使用していない場合、本脆弱性の影響は受けません。

想定される影響

任意のコードが実行される可能性があります。

対策方法

Struts 2本体をアップグレードするとともに、新しいファイルアップロードメカニズムに移行する
Apache Struts 6.4.0およびそれ以降のバージョンにアップグレードした上で、新しいファイルアップロードメカニズムに移行してください。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation S2-067
[ANN] CVE-2024-53677 File upload logic is flawed
10 December 2024 - CVE-2024-53677 File upload logic is flawed
Action File Upload

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia