公開日:2018/08/23 最終更新日:2019/09/03
JVNVU#93295516
Apache Struts2 に任意のコードが実行可能な脆弱性
Apache Struts2 には任意のコードが実行可能な脆弱性が存在します。
- Struts 2.3 系列: Struts 2.3.35 より前のバージョン
- Struts 2.5 系列: Struts 2.5.17 より前のバージョン
Apache Struts2 にはユーザ入力の不十分な検証に起因する、任意のコードが実行可能な脆弱性が存在します。
詳細はベンダが提供する情報を参照してください。
なお、本脆弱性の攻撃コードが公開されています。
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性の修正を行ったバージョンとして Struts 2.3.35 および Struts 2.5.17 が公開されています。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する
ベンダ | リンク |
Apache Software Foundation | S2-057 |
Version Notes 2.5.17 | |
Version Notes 2.3.35 |
-
Semmle
Semmle Discovers Critical Remote Code Execution Vulnerability in Apache Struts (CVE-2018-11776) -
独立行政法人情報処理推進機構 (IPA)
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)
JPCERT 緊急報告 |
JPCERT-AT-2018-0036 Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起 |
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2018-11776 |
JVN iPedia |
|
- 2018/08/28
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2018/11/06
- 日本電気株式会社のベンダステータスが更新されました
- 2019/09/03
- 日本電気株式会社のベンダステータスが更新されました