Apache Struts 2 には、次の脆弱性が存在します。

• Jakarta Multipart parser の処理に起因するリモートより任意のコードを実行される脆弱性（CVE-2017-5638)
• doModeが有効な場合、クロスサイト・スクリプティングの脆弱性（CVE-2015-5169）
• JSP ファイルに対し直接アクセスが可能な場合、クロスサイト・スクリプティングの脆弱性（CVE-2015-2992）

WebOTX Developer(with Developer's Studio)では、Apache Struts 2 を含んだサンプルアプリケーションを提供しています。

• WebOTX Developer (with Developer's Studio) V9.3
• WebOTX Developer (with Developer's Studio) V9.4

(1)CVE-2017-5638

【脆弱性の影響】
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。
【条件】
Apache Struts 2.3.5 から 2.3.31 まで
Apache Struts 2.5 から 2.5.10 まで

(2)CVE-2015-5169

【脆弱性の影響】
devModeが有効の場合、ウェブページを出力する際の処理が不適切なため、任意のスクリプトを埋めこめてしまう、クロスサイト・スクリプティングの脆弱性が存在します。
【条件】
Apache Struts 2.3.20 より前のバージョンを利用
devMode が有効

(3)CVE-2015-2992

【脆弱性の影響】
XSSフィルタが無効になっているユーザの Internet Explorer上で、任意のスクリプトを実行される可能性があります。
【条件】
Apache Struts 2.3.20 より前のバージョンを利用
JSPファイルに対し直接アクセスが可能

• WebOTX Manual V9.3(第5版)、WebOTX Manual V9.4(第1版、第2版)では、WebOTX Developer(with Developer's Studio) V9.3/9.4で利用可能なApache Struts 2.5 を含んだサンプルアプリケーション(struts-sample.zip)を提供しています。
  こちらのサンプルアプリケーションを利用している場合、本脆弱性(1)に該当します。
• WebOTX Manual V9.3(第1版 ～ 第4版)では、WebOTX Developer(with Developer's Studio) V9.3 で利用可能な Apache Struts 2.3.16.3 を含んだサンプルアプリケーション(struts-sample.zip)を提供しています。
  これらのサンプルアプリケーションを利用している場合、本脆弱性(1)に該当しますが、devModeを利用していない、JSPファイルに対し直接アクセスをしていないため、本脆弱性(2)(3)には該当しません。

なお、WebOTX製品(および関連製品)において、上記サンプルを除いてApache Struts 2は利用しておりません。

本サンプルプログラムをサーバに配備しないようにしてください。すでに配備済みの場合には、配備解除してください。

また、上記のサンプルプログラムについては、脆弱性が解消された Apache Struts 2.5.10.1に置換したものを用意しています。
サンプルプログラムの利用が必要な場合には、こちらのファイルを利用してください。

ありません。

2017/05/11 初版

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。