Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる：セキュリティニュースアラート

Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。

[後藤大地，有限会社オングス]

　Apache Strutsプロジェクトは2023年12月7日（現地時間）、CVE-2023-50164の脆弱（ぜいじゃく）性を修正した「Apache Struts 6.3.0.2」と「2.5.33」を公開した。複数のベンダーがこの脆弱性を悪用するサイバー攻撃を観測している。

CVE-2023-50164（出典：NISTのWebサイト）

Apache Struts2にRCEの脆弱性　深刻度は「緊急」

　Apache StrutsはJava Webアプリケーションの開発に使われている人気の高いWebアプリケーションフレームワークだ。さまざまな分野で広く使用されている。

　Apache Strutsプロジェクトは以下2つのバージョンのApache Strutsを公開した。

• Apache Struts 6.3.0.2
• Apache Struts 2.5.33

　上記バージョンは「CVE-2023-50164」として特定されている脆弱性が修正されている。以下のバージョンがこの脆弱性の影響を受ける。

• Apache Struts 6.0.0から6.3.0.1までのバージョン
• Apache Struts 2.0.0から2.5.32までのバージョン

　CVE-2023-50164を悪用するとファイルアップロードパラメータを操作してパストラバーサルを有効化し、状況によってはリモートコード実行（RCE）が可能になるとされている。共通脆弱性評価システム（CVSS）v3の評価値は9.8で深刻度「緊急」（Critical）と評価されている。今回の脆弱性は多くのベンダーに影響を与える可能性があり、Cisco Systemsなどは既に影響を受ける製品に関する情報の提供を開始している。

　研究者は脆弱性が修正された上記バージョンが公開された後で脆弱性を利用する概念実証（PoC）を公開した。サイバー攻撃者はこの概念実証を悪用して攻撃を開始したことが確認されている。

　該当ソフトウェアを使用している場合、リリース情報や関連するセキュリティ情報を確認するとともに、脆弱性が修正されたバージョンにアップデートすることが求められる。