「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate”

　Apache Software Foundationは7日、「Apache Struts 2」の脆弱性「CVE-2017-12611」に関するアドバイザリ「S2-053」を公開した。

　影響を受けるバージョンは、「2.0.1」～「2.3.33」と「2.5」～「2.5.10」。5日公開の最新バージョン「2.5.13」と2.3系列の更新版「2.3.34」で修正されている。

　脆弱性「CVE-2017-12611」は、文字列リテラルの代わりに用いているFreemarkerタグに意図しない式を使用している場合、攻撃者がリモートから任意のコードを実行（RCE：Remote Code Execution）できるもの。Apache Softwareでは危険度を“Moderate”としている。

【お詫びと訂正 8日12:56】
　記事初出時に一時的な脆弱性の回避策として掲載していたFreemarkerタグに関する記述は、脆弱性を引き起こす例としてS2-053の告知ページに記載されているものでした。このため、該当の記述を削除させていただきました。お詫びして訂正いたします。