JVNDB-2024-014619

Apache Struts 2 のファイルアップロード処理に不備（S2-067）

The Apache Software Foundation が提供する Apache Struts 2 には、ファイルアップロード処理に不備（CVE-2024-53677）が存在します。ファイルアップロード時のパラメータが細工された場合、悪意のあるファイルをアップロードされる可能性があります。
開発者は本脆弱性を S2-066（JVNVU#96961218 で公表）と同様の問題と報告しています。

なお、File Upload Interceptor を使用していない場合、本脆弱性の影響は受けません。

Apache Software Foundation

• Apache Struts 2.5.0 から 2.5.33
• Apache Struts 6.0.0 から 6.3.0.2

すでに EOL（End-Of-Life）となった、Apache Struts 2.0.0 から 2.3.37 も本脆弱性の影響を受けます。

任意のコードが実行される可能性があります。

[Struts 2 本体をアップグレードするとともに、新しいファイルアップロードメカニズムに移行する]
Apache Struts 6.4.0 およびそれ以降のバージョンにアップグレードした上で、新しいファイルアップロードメカニズムに移行してください。
詳細は、開発者が提供する情報を確認してください。

Apache Software Foundation

• Pony Mail : [ANN] CVE-2024-53677 File upload logic is flawed
• The Apache Software Foundation : S2-067
• The Apache Software Foundation : 10 December 2024 - CVE-2024-53677 File upload logic is flawed
• The Apache Software Foundation : Action File Upload

1. CVE-2024-53677

1. JVN : JVNVU#91257897
2. JVN : JVNVU#96961218

• [2024年12月13日]
    掲載