米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月12日(米国時間)、「Apache Releases Security Advisory for Struts 2|CISA」において、Apache Struts 2に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Struts 2.0.0からStruts 2.5.29までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Struts 2.5.30
脆弱性は深刻度が重要(Important)に分類されており注意が必要。攻撃者によって任意のコードが実行される可能性があるとされている。JPCERT/CCによると、この脆弱性は2020年12月8日(米国時間)に情報が公開(S2-061)されたApache Struts 2の脆弱性(CVE-2020-17530)の修正が不十分であったことに起因するものだという。