Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Apache Strutsプロジェクトは2023年12月7日(現地時間)、CVE-2023-50164の脆弱(ぜいじゃく)性を修正した「Apache Struts 6.3.0.2」と「2.5.33」を公開した。複数のベンダーがこの脆弱性を悪用するサイバー攻撃を観測している。
Apache StrutsはJava Webアプリケーションの開発に使われている人気の高いWebアプリケーションフレームワークだ。さまざまな分野で広く使用されている。
Apache Strutsプロジェクトは以下2つのバージョンのApache Strutsを公開した。
上記バージョンは「CVE-2023-50164」として特定されている脆弱性が修正されている。以下のバージョンがこの脆弱性の影響を受ける。
CVE-2023-50164を悪用するとファイルアップロードパラメータを操作してパストラバーサルを有効化し、状況によってはリモートコード実行(RCE)が可能になるとされている。共通脆弱性評価システム(CVSS)v3の評価値は9.8で深刻度「緊急」(Critical)と評価されている。今回の脆弱性は多くのベンダーに影響を与える可能性があり、Cisco Systemsなどは既に影響を受ける製品に関する情報の提供を開始している。
研究者は脆弱性が修正された上記バージョンが公開された後で脆弱性を利用する概念実証(PoC)を公開した。サイバー攻撃者はこの概念実証を悪用して攻撃を開始したことが確認されている。
該当ソフトウェアを使用している場合、リリース情報や関連するセキュリティ情報を確認するとともに、脆弱性が修正されたバージョンにアップデートすることが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.