Apache Struts2にXSSの脆弱性、更新版が公開

脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。

» 2015年09月04日 15時48分 公開
[ITmedia]

 Java WebアプリケーションフレームワークのApache Struts2で、2件のクロスサイトスクリプティング(XSS)の脆弱性が報告され、これを解決した更新版が8月26日に公開された。

 開発元のApache Software Foundationによると、Apache Struts 2.0.0〜2.3.16.3ではdevModeが有効な場合および、本番環境などJSPファイルに直接アクセス可能な状態で脆弱性を突かれ、任意のスクリプトが実行されてしまう恐れがある。

 この脆弱性を解決した更新版はApache Struts 2.3.20。ユーザーに更新版の適用を推奨している。また、devModeの無効化やJSPファイルのWEB-INFフォルダ内への移動といった回避策も紹介されている。

注意喚起

Copyright © ITmedia, Inc. All Rights Reserved.