Apache StrutsにCVSS 9.5の致命的な脆弱性 緊急のアップデートが必要セキュリティニュースアラート

Apache Software FoundationはApache Strutsフレームワークの深刻な脆弱性(CVE-2024-53677)を報告した。この脆弱性を悪用すると、リモートから任意のコードが実行され、システムが侵害される可能性がある。

» 2024年12月16日 07時30分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Apache Software Foundationは2024年11月26日(現地時間)、オープンソースソフトウェア(OSS)のWebアプリケーションフレームワーク「Apache Struts」に深刻な脆弱(ぜいじゃく)性が存在することを伝えた。

 この脆弱性が悪用された場合、リモートから任意のコードが実行され、システムが侵害される可能性がある。

Apache StrutsにCVSS 9.5の致命的な脆弱性、アップデート必須

 指摘されている脆弱性は以下の通りだ。

  • CVE-2024-53677: Apache Strutsのファイルアップロードロジックにある脆弱性。攻撃者はファイルアップロードパラメーターを操作することでパストラバーサルが可能となる。状況によっては悪意のあるファイルをアップロードしてリモートコードが実行される可能性がある。深刻度は共通脆弱性評価システム(CVSS)v4.0のスコア値で9.5と評価され、深刻度「緊急」(Critical)に分類されている

 この脆弱性の影響を受けるApache Strutsのバージョンは以下の通りだ。

  • Apache Struts 2.0.0から2.3.37(EOL)までのバージョン
  • Apache Struts 2.5.0から2.5.33までのバージョン
  • Apache Struts 6.0.0から6.3.0.2までのバージョン

 脆弱性が修正されたApache Strutsのバージョンは以下の通りだ。

  • Apache Struts 6.4.0およびこれ以降のバージョン

 Apache Software Foundationはパッチが適用されたバージョンにアップデートすることを勧めている他、新しいファイルアップロードメカニズムに移行することも推奨している。古いファイルアップロードメカニズムを使用し続けた場合、この脆弱性によるリスクを回できないとしている。

 脆弱性を抱える製品の継続的な利用はサイバーセキュリティの重大なリスクとなる。該当製品を使用している場合、速やかにアップデートを適用し、推奨されている改修を実施することが望まれている。

Copyright © ITmedia, Inc. All Rights Reserved.