JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月8日、「JVNVU#96961218: Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)」において、Apache Strutsに脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される恐れがある。

  • JVNVU#96961218: Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)

    JVNVU#96961218: Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Struts 2.0.0から2.3.37まで
  • Struts 2.5.0から2.5.32まで
  • Struts 6.0.0から6.3.0まで

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。Struts 2.0.0から2.3.37はサポート終了(EOL: End-of-Life)となっており、アップグレードすることが推奨されている。

  • Struts 2.5.33およびこれ以降のバージョン
  • Struts 6.3.0.2およびこれ以降のバージョン

修正された脆弱性に関する情報は次のとおり。

  • CVE-2023-50164 - ファイルアップロードパラメータの操作によりパストラバーサルが可能となる不具合。状況によっては悪意のあるファイルのアップロードにより、リモートコードの実行につながる可能性がある

Apache Software Foundationはこの脆弱性の深刻度を緊急(Critical)と評価しており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。