JVNDB-2015-000124

Apache Struts におけるクロスサイトスクリプティングの脆弱性

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。Apache Struts には、JSP ファイルに対し直接アクセスが可能な場合、クロスサイトスクリプティングの脆弱性が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション 諌山貴由 氏

Apache Software Foundation

• Apache Struts 2.3.20 より前のバージョン

Apache Struts 1 への影響の有無は不明です。
なお、Apache Struts 1 は、2013年4月5日付けでサポート終了 (EOL) が宣言が宣言されています。

XSS フィルタが無効になっているユーザの Internet Explorer 上で、任意のスクリプトを実行される可能性があります。

[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。

また、開発者はさらに以下の対応も推奨しています：
- 直接アクセスできないように JSP ファイルを WEB-INF フォルダ内に移動する
- web.xml にセキュリティ設定を追記する

Apache Software Foundation

• Apache Software Foundation : Announcements - 26 August 2015
• Apache Software Foundation : S2-025 - Cross-Site Scripting Vulnerability in Debug Mode and in exposed JSP files
• Apache Software Foundation : Apache Struts2 Core Developers Guide / Security
• Apache Struts : Apache Struts 1 End-Of-Life (EOL) Announcement

日本電気

• NEC製品セキュリティ情報 : NV15-020

1. クロスサイトスクリプティング(CWE-79) [IPA評価]

1. CVE-2015-2992

1. JVN : JVN#88408929
2. National Vulnerability Database (NVD) : CVE-2015-2992

• [2015年09月04日]
    掲載
  [2015年09月07日]
    影響を受けるシステム：内容を更新
    ベンダ情報：Apache Software Foundation (Apache Struts 1 End-Of-Life (EOL) Announcement) を追加
  [2015年12月25日]
    ベンダ情報：日本電気 (NV15-020) を追加