Apache Struts 2にリモートからの任意コード実行を許す脆弱性

あるAnonymous Coward曰く、　JavaベースのWebアプリケーションフレームワークApache Strutsに深刻な脆弱性が発見された（JVNVU#93610402、piyolog）。

　対象はApache Struts 2.3.5～2.3.31および2.5～2.5.10。Jakarta Multipart parserの処理に不具合があり、multipart/form-dataが文字列として含まれる不正なリクエストを送信することで、リモートから任意のコードを実行できる可能性があるという。

　Struts 2はOGNLという独自の言語でJavaオブジェクトを操作できる機能を備えており、しばしばOGNLが原因の脆弱性が発見されていたが、今回もOGNL周りの問題のようで、Content-Typeヘッダ内に細工したOGNKを入れるだけで攻撃できてしまう模様。

　ちなみにStrutsについては2014年にセキュリティ的には相当にダメな部類などと指摘されていた。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット

　関連ストーリー：
セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる 2014年04月24日
Struts 2の脆弱性を狙った攻撃が増えている 2013年07月23日
JINSオンラインショップへの不正アクセス、Struts 2の脆弱性を突かれたのが原因 2013年05月02日