ニュース

「Apache Struts 2」に2件の脆弱性、バージョン2.5.22以降の適用を推奨

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は14日、ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性「CVE-2019-0230」「CVE-2019-0233」について注意喚起をした。

 開発元のApache Software Foundation(ASF)では、脆弱性を修正したバージョン「2.5.22」以降の適用を推奨している。影響を受けるバージョンは「2.0.0」~「2.5.20」。

 CVE-2019-0230は、第三者が細工したリクエストを送信することで任意のコードが実行される可能性がある。ASFによる脆弱性の深刻度評価は4段階中上から2番目の“Important”。

 CVE-2019-0233は、ファイルをアップロードする際に第三者がリクエストを不正に操作することで、サービス運用妨害(DoS)が引き起こされる可能性がある。ASFによる脆弱性の深刻度評価は4段階中上から3番目の“Medium”。

 Apache Struts 2は、オープンソースのJavaウェブアプリケーションフレームワーク。国内でも多くのウェブサイトで採用されている。