脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。
Java WebアプリケーションフレームワークのApache Struts2で、2件のクロスサイトスクリプティング(XSS)の脆弱性が報告され、これを解決した更新版が8月26日に公開された。
開発元のApache Software Foundationによると、Apache Struts 2.0.0〜2.3.16.3ではdevModeが有効な場合および、本番環境などJSPファイルに直接アクセス可能な状態で脆弱性を突かれ、任意のスクリプトが実行されてしまう恐れがある。
この脆弱性を解決した更新版はApache Struts 2.3.20。ユーザーに更新版の適用を推奨している。また、devModeの無効化やJSPファイルのWEB-INFフォルダ内への移動といった回避策も紹介されている。
Copyright © ITmedia, Inc. All Rights Reserved.