JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月8日、「JVNVU#96961218: Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)」において、Apache Strutsに脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される恐れがある。
脆弱性に関する情報は次のページにまとまっている。
- S2-066 - Apache Struts 2 Wiki - Apache Software Foundation
- 7 December 2023 - Apache Struts version 2.5.33 General Availability
- 7 December 2023 - Apache Struts version 6.3.0.2 General Availability
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Struts 2.0.0から2.3.37まで
- Struts 2.5.0から2.5.32まで
- Struts 6.0.0から6.3.0まで
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。Struts 2.0.0から2.3.37はサポート終了(EOL: End-of-Life)となっており、アップグレードすることが推奨されている。
- Struts 2.5.33およびこれ以降のバージョン
- Struts 6.3.0.2およびこれ以降のバージョン
修正された脆弱性に関する情報は次のとおり。
- CVE-2023-50164 - ファイルアップロードパラメータの操作によりパストラバーサルが可能となる不具合。状況によっては悪意のあるファイルのアップロードにより、リモートコードの実行につながる可能性がある
Apache Software Foundationはこの脆弱性の深刻度を緊急(Critical)と評価しており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。