Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Strutsにクロスサイトスクリプティングの脆弱性

掲載番号:NV15-020
脆弱性情報識別番号:JVN#88408929

概要

Apache Struts 2 は URL のエンコード処理にクロスサイトスクリプティングの脆弱性があります。

攻撃者によって細工された URL に誘導された場合、任意のスクリプトを実行される可能性があります。
なお、XSS フィルタを無効にした Internet Explorer のみ本脆弱性の影響を受けます。Firefox, Opera, Chrome は本脆弱性の影響を受けません。

対象製品

InfoFrame Relational Store

影響の有無

影響あり

管理コンソールを使用する場合に本脆弱性の影響を受けます。

対象となる製品のバージョン

全てのバージョン

対処方法

[対策]
Ver3.2.6にて対処済みです。
バージョンアップの詳細につきましては弊社営業にお問合せください。

WebOTX

影響の有無

影響あり

同梱しているStrutsサンプルが本脆弱性の影響を受けます。

対象となる製品のバージョン

  • WebOTX Application Server Express V9.3
  • WebOTX Application Server Standard V9.3
  • WebOTX Application Server Enterprise V9.3

 

対処方法

[対策]
脆弱性が解消されたサンプルプログラムを下記から取得し、置き換えてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138

[回避策]
本サンプルプログラムをサーバに配備しないようにしてください。
すでに配備済みの場合には、配備解除してください。

参考情報

Japan Vulnerability Notes #JVN88408929:
Apache Struts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN88408929/index.html

CVE-2015-2992:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992

更新情報

2017/07/21
WebOTX を登録しました。
2015/12/16
InfoFrame Relational Storeを登録しました。