Japan
サイト内の現在位置を表示しています。
Apache Strutsにクロスサイトスクリプティングの脆弱性
掲載番号:NV15-020
脆弱性情報識別番号:JVN#88408929
概要
Apache Struts 2 は URL のエンコード処理にクロスサイトスクリプティングの脆弱性があります。
攻撃者によって細工された URL に誘導された場合、任意のスクリプトを実行される可能性があります。
なお、XSS フィルタを無効にした Internet Explorer のみ本脆弱性の影響を受けます。Firefox, Opera, Chrome は本脆弱性の影響を受けません。
対象製品
InfoFrame Relational Store
影響の有無
影響あり
管理コンソールを使用する場合に本脆弱性の影響を受けます。
管理コンソールを使用する場合に本脆弱性の影響を受けます。
対象となる製品のバージョン
全てのバージョン
対処方法
[対策]
Ver3.2.6にて対処済みです。
バージョンアップの詳細につきましては弊社営業にお問合せください。
バージョンアップの詳細につきましては弊社営業にお問合せください。
WebOTX
影響の有無
影響あり
同梱しているStrutsサンプルが本脆弱性の影響を受けます。
同梱しているStrutsサンプルが本脆弱性の影響を受けます。
対象となる製品のバージョン
- WebOTX Application Server Express V9.3
- WebOTX Application Server Standard V9.3
- WebOTX Application Server Enterprise V9.3
対処方法
[対策]
脆弱性が解消されたサンプルプログラムを下記から取得し、置き換えてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138
[回避策]
本サンプルプログラムをサーバに配備しないようにしてください。
すでに配備済みの場合には、配備解除してください。
すでに配備済みの場合には、配備解除してください。
参考情報
Japan Vulnerability Notes #JVN88408929:
Apache Struts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN88408929/index.html
CVE-2015-2992:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992
更新情報
- 2017/07/21
- 2015/12/16