-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
LAC Advisory No.120
Problem first discovered on: Thu, 12 Mar 2015
Published on: Tue, 08 Sep 2015
脅威度
低
概要
Apache Strutsには、開発モード(devMode)が有効になっている場合、クロスサイトスクリプティングの脆弱性が存在します。
詳細
Apache Software Foundationが提供する Apache Strutsは、Javaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Strutsには、開発モード(devMode)が有効になっている場合、特定条件下の「Problem Report」画面において反射型クロスサイトスクリプティングの脆弱性が存在します。
これにより、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
スクリーンショット
影響を受けるバージョン
Apache Struts 2.3.20より前のバージョン
対策
開発者が提供する情報をもとに最新版へアップデートしてください。
アップデートを適用できない場合は、以下のワークアラウンドを実施することで本問題の影響を回避可能です。
・開発モード(devMode)を無効にする
[ベンダ情報]
https://struts.apache.org/docs/s2-025.html
発見者
吉川 允樹(システムアセスメント部)
謝辞:
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。
http://jvn.jp/jp/JVN95989300/index.html
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000125.html
CVE番号:
CVE-2015-5169
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5169
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR