情報処理推進機構(IPA)は3月8日、「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構」において、Apache Struts 2にJakarta Multipart parserのファイルアップロード処理に関連する脆弱性が存在すると伝えた。この脆弱性を悪用されると遠隔から任意のコードが実行される危険性があり注意が必要。
脆弱性が存在するとされているプロダクトおよびバージョンは次のとおり。
- Apache Struts 2.3.5から2.3.31までのバージョン
- Apache Struts 2.5から2.5.10までのバージョン
情報処理推進機構ではすでにこの脆弱性を悪用したとみられる攻撃が報告されていることから、迅速に脆弱性が修正されたバージョンへアップグレードを実施することを推奨している。使用しているApache Struts 2のバージョンは/WEB-INF/lib/ディレクトリに配置されているstruts2-core-2.x.x.x.jarファイルの2.x.x.xの部分から判別可能とされている。