セキュリティとITの最新情報

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起　|　
2015年9月 8日

Apache Strutsにおけるクロスサイトスクリプティングの脆弱性

セキュリティ

メルマガ登録する

シェアボタンを表示

メルマガ登録する

LAC Advisory No.120

Problem first discovered on: Thu, 12 Mar 2015
Published on: Tue, 08 Sep 2015

脅威度

低

概要

Apache Strutsには、開発モード（devMode）が有効になっている場合、クロスサイトスクリプティングの脆弱性が存在します。

詳細

Apache Software Foundationが提供する Apache Strutsは、Javaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Strutsには、開発モード（devMode）が有効になっている場合、特定条件下の「Problem Report」画面において反射型クロスサイトスクリプティングの脆弱性が存在します。

これにより、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

スクリーンショット

スクリプト実行画面

影響を受けるバージョン

Apache Struts 2.3.20より前のバージョン

対策

開発者が提供する情報をもとに最新版へアップデートしてください。

アップデートを適用できない場合は、以下のワークアラウンドを実施することで本問題の影響を回避可能です。
・開発モード（devMode）を無効にする

[ベンダ情報]

https://struts.apache.org/docs/s2-025.html

発見者

吉川允樹（システムアセスメント部）

謝辞：
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。

http://jvn.jp/jp/JVN95989300/index.html

http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000125.html

CVE番号:
CVE-2015-5169

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5169

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ

関連記事

関連記事をご紹介します

まさか開発モードで本番稼働していませんよね

この記事を読む
Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～

この記事を読む
Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について

この記事を読む

よく読まれている記事

タグ