Apache StrutsにCVSS 9.5の致命的な脆弱性 緊急のアップデートが必要：セキュリティニュースアラート

Apache Software FoundationはApache Strutsフレームワークの深刻な脆弱性（CVE-2024-53677）を報告した。この脆弱性を悪用すると、リモートから任意のコードが実行され、システムが侵害される可能性がある。

[後藤大地，有限会社オングス]

　Apache Software Foundationは2024年11月26日（現地時間）、オープンソースソフトウェア（OSS）のWebアプリケーションフレームワーク「Apache Struts」に深刻な脆弱（ぜいじゃく）性が存在することを伝えた。

　この脆弱性が悪用された場合、リモートから任意のコードが実行され、システムが侵害される可能性がある。

Apache StrutsにCVSS 9.5の致命的な脆弱性、アップデート必須

　指摘されている脆弱性は以下の通りだ。

• CVE-2024-53677：　Apache Strutsのファイルアップロードロジックにある脆弱性。攻撃者はファイルアップロードパラメーターを操作することでパストラバーサルが可能となる。状況によっては悪意のあるファイルをアップロードしてリモートコードが実行される可能性がある。深刻度は共通脆弱性評価システム（CVSS）v4.0のスコア値で9.5と評価され、深刻度「緊急」（Critical）に分類されている

　この脆弱性の影響を受けるApache Strutsのバージョンは以下の通りだ。

• Apache Struts 2.0.0から2.3.37（EOL）までのバージョン
• Apache Struts 2.5.0から2.5.33までのバージョン
• Apache Struts 6.0.0から6.3.0.2までのバージョン

　脆弱性が修正されたApache Strutsのバージョンは以下の通りだ。

• Apache Struts 6.4.0およびこれ以降のバージョン

　Apache Software Foundationはパッチが適用されたバージョンにアップデートすることを勧めている他、新しいファイルアップロードメカニズムに移行することも推奨している。古いファイルアップロードメカニズムを使用し続けた場合、この脆弱性によるリスクを回できないとしている。

　脆弱性を抱える製品の継続的な利用はサイバーセキュリティの重大なリスクとなる。該当製品を使用している場合、速やかにアップデートを適用し、推奨されている改修を実施することが望まれている。