Apache Struts 2 には、次の脆弱性が存在します。
- Jakarta Multipart parser の処理に起因するリモートより任意のコードを実行される脆弱性(CVE-2017-5638)
- doModeが有効な場合、クロスサイト・スクリプティングの脆弱性(CVE-2015-5169)
- JSP ファイルに対し直接アクセスが可能な場合、クロスサイト・スクリプティングの脆弱性(CVE-2015-2992)
WebOTX Developer(with Developer's Studio)では、Apache Struts 2 を含んだサンプルアプリケーションを提供しています。
(1)CVE-2017-5638
【脆弱性の影響】
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。
【条件】
Apache Struts 2.3.5 から 2.3.31 まで
Apache Struts 2.5 から 2.5.10 まで
(2)CVE-2015-5169
【脆弱性の影響】
devModeが有効の場合、ウェブページを出力する際の処理が不適切なため、任意のスクリプトを埋めこめてしまう、クロスサイト・スクリプティングの脆弱性が存在します。
【条件】
Apache Struts 2.3.20 より前のバージョンを利用
devMode が有効
(3)CVE-2015-2992
【脆弱性の影響】
XSSフィルタが無効になっているユーザの Internet Explorer上で、任意のスクリプトを実行される可能性があります。
【条件】
Apache Struts 2.3.20 より前のバージョンを利用
JSPファイルに対し直接アクセスが可能
- WebOTX Manual V9.3(第5版)、WebOTX Manual V9.4(第1版、第2版)では、WebOTX Developer(with Developer's Studio) V9.3/9.4で利用可能なApache Struts 2.5 を含んだサンプルアプリケーション(struts-sample.zip)を提供しています。
こちらのサンプルアプリケーションを利用している場合、本脆弱性(1)に該当します。
- WebOTX Manual V9.3(第1版 ~ 第4版)では、WebOTX Developer(with Developer's Studio) V9.3 で利用可能な Apache Struts 2.3.16.3 を含んだサンプルアプリケーション(struts-sample.zip)を提供しています。
これらのサンプルアプリケーションを利用している場合、本脆弱性(1)に該当しますが、devModeを利用していない、JSPファイルに対し直接アクセスをしていないため、本脆弱性(2)(3)には該当しません。
なお、WebOTX製品(および関連製品)において、上記サンプルを除いてApache Struts 2は利用しておりません。