Apache Software Foundation、Apache Struts に複数の脆弱性を確認

元記事：It is possible to bypass token validation and perform a CSRF attack

元記事：Getter as action method leads to security bypass

元記事：Input validation bypass using existing default action method

HP：Apache Software Foundation

発表日時 2016/6/20

Apache Struts に複数の脆弱性が確認された。影響を受けるのはApache Struts 2.3.20 から 2.3.28.1で、クロスサイトリクエストフォージェリ、Getter メソッドにおける検証回避、入力値検証回避の脆弱性が存在する。これらの脆弱性が悪用されると遠隔から攻撃者にユーザが意図しない操作をされるほか、外部URLへのリダイレクト、細工されたデータの登録などをされる恐れがある。解決策としてStruts 2.3.29が公開されており、アップデートによりこの脆弱性は解消される。

Tweet