Apache Struts 2にリモートからの任意コード実行を許す脆弱性
2017年3月9日 20:43
あるAnonymous Coward曰く、 JavaベースのWebアプリケーションフレームワークApache Strutsに深刻な脆弱性が発見された(JVNVU#93610402、piyolog)。
対象はApache Struts 2.3.5~2.3.31および2.5~2.5.10。Jakarta Multipart parserの処理に不具合があり、multipart/form-dataが文字列として含まれる不正なリクエストを送信することで、リモートから任意のコードを実行できる可能性があるという。
Struts 2はOGNLという独自の言語でJavaオブジェクトを操作できる機能を備えており、しばしばOGNLが原因の脆弱性が発見されていたが、今回もOGNL周りの問題のようで、Content-Typeヘッダ内に細工したOGNKを入れるだけで攻撃できてしまう模様。
ちなみにStrutsについては2014年にセキュリティ的には相当にダメな部類などと指摘されていた。