Cisco、Apache Strutsの4年前の脆弱性を修正

Ciscoは同社製品に実装された「Apache Struts 2」の脆弱性を修正した。Apache Strutsチームは2010年8月にこの問題を修正していた。

[鈴木聖子，ITmedia]

　米Cisco Systemsは7月9日、Webアプリケーションフレームワーク「Apache Struts 2」に2010年に発覚した深刻な脆弱性に対処するため、コラボレーション製品やコンプライアンス製品を対象とするソフトウェアアップデートを公開した。

　同社のセキュリティ情報によると、影響を受けるのは「Cisco Business Edition 3000 Series」「Identity Services Engine（ISE）」「Media Experience Engine（MXE） 3500 Series」「Unified Contact Center Enterprise（Unified CCE）」の各製品。

　脆弱性は各製品に実装されたApache Struts 2コンポーネントに存在する。悪用された場合、認証されていないリモートの攻撃者がセキュリティ対策をかわし、サーバサイドのオブジェクト上で任意のコマンドを実行できる可能性がある。この脆弱性は2010年に発覚し、Apache Strutsチームは同年8月に問題を修正していた。

　CiscoのUnified CCEでこの脆弱性を悪用された場合、管理者権限でリモートから任意のコードを実行できることが確認されたという。その他の製品については理論的に悪用は可能だが、再現はできていないとしている。

　危険度はCVSSベーススコアで最大値の「10.0」。脆弱性の存在を実証するコードが公開されているものの、現時点で実際に悪用された事例は確認していないとCiscoは説明している。