ニュース
「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate”
2017年9月7日 18:31
Apache Software Foundationは7日、「Apache Struts 2」の脆弱性「CVE-2017-12611」に関するアドバイザリ「S2-053」を公開した。
影響を受けるバージョンは、「2.0.1」~「2.3.33」と「2.5」~「2.5.10」。5日公開の最新バージョン「2.5.13」と2.3系列の更新版「2.3.34」で修正されている。
脆弱性「CVE-2017-12611」は、文字列リテラルの代わりに用いているFreemarkerタグに意図しない式を使用している場合、攻撃者がリモートから任意のコードを実行(RCE:Remote Code Execution)できるもの。Apache Softwareでは危険度を“Moderate”としている。
【お詫びと訂正 8日12:56】
記事初出時に一時的な脆弱性の回避策として掲載していたFreemarkerタグに関する記述は、脆弱性を引き起こす例としてS2-053の告知ページに記載されているものでした。このため、該当の記述を削除させていただきました。お詫びして訂正いたします。