Apache Struts、Apache Struts 1 に複数の脆弱性を確認
Apache Struts 1 にメモリ上にあるコンポーネントを操作可能な脆弱性及び入力値検証機能の脆弱性が確認された。影響を受けるのはメモリ上のコンポーネントはApache Struts バージョン 1.0 から 1.3.10、入力値検証機能は Apache Struts バージョン1.1 から 1.3.10で、Apache Struts 1 の ActionForm にServletやClassLoader などサーバのメモリ上にあるコンポーネントを操作可能な脆弱性が存在、Validator には入力値検証に関する設定を外部から変更可能な脆弱性が存在する。これらの脆弱性が悪用されると、サービス運用妨害を受け、ClassLoader の操作によりApache Struts が動作しているサーバ上でリモートで情報盗取、任意のコード実行などされたり、アプリケーションの実装により異なりますが、入力値検証に関する設定の改ざんや削除によりクロスサイトスクリプティング攻撃やサービス運用妨害を引き起こされる恐れがある。なお、Apache Struts 1 はサポートが終了しており、Struts 1 を使用する各開発者の情報を確認するよう推奨している。
