Apache Struts2にて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。
概要
Apache Struts2 には、任意のコードが実行可能な脆弱性 (S2-052) が存在します。
影響を受けるシステム
- Struts 2.1.2 から Struts 2.3.33 まで
- Struts 2.5 から Struts 2.5.12 まで
詳細情報
Apache Struts2 には、Struts REST プラグインを使用している場合に XML ペイロードのデシリアライズ処理に起因する、任意のコードが実行可能となる脆弱性が存在します。
想定される影響
遠隔の第三者によって細工されたリクエストを処理することで、任意のコードを実行される可能性があります。
対策方法
- アップデートする。
本脆弱性が修正されたバージョン (Struts 2.5.13 および Struts 2.3.34) へアップデートする。
なお、上記のバージョンには S2-050、S2-051 に対する修正も含まれています。 - ワークアラウンドを実施する。
ベンダは以下のワークアラウンドを提示しています。No workaround is possible, the best option is to remove the Struts REST plugin when not used or limit it to server normal pages and JSONs only: <constant name="struts.action.extension" value="xhtml,,json" />
備考
最終更新日 2017.09.07
