Apacheソフトウエア財団は米国時間2017年9月5日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」の脆弱性を公表した。IPA(独立行政法人 情報処理推進機構)やJPCERTコーディネーションセンターが注意を喚起している。危険度は最高の「Critical」であり、最新のStruts2に至急、アップデートする必要がある。

 この脆弱性を放置したサーバーに攻撃者が悪意あるリクエストを送ると、サーバー上で任意のコードが実行されてしまう。原因は、RESTプラグインを使用している場合のXMLリクエストの処理にある。IPAによると、この脆弱性を悪用する攻撃コードはすでに公開されているという。

IPAが公開した脆弱性を悪用した攻撃のイメージ
IPAが公開した脆弱性を悪用した攻撃のイメージ
出所:IPA

 影響を受けるバージョンはApache Struts 2.5から2.5.12である。Apacheソフトウエア財団は、脆弱性の公表と同時に修正済みバージョンである「2.5.13」を公開した。IPAやJPCERT/CCは最新版へのアップデートを推奨している。