Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Apache Struts におけるクロスサイトスクリプティングの脆弱性

掲載番号:NV17-016
脆弱性情報識別番号:JVN#95989300

概要

Apache Struts には、devMode が有効になっている場合、クロスサイトスクリプティングの脆弱性が存在します。

対象製品

WebOTX

影響の有無

影響あり

同梱しているStrutsサンプルが本脆弱性の影響を受けます。

対象となる製品のバージョン

WebOTX Application Server Express V9.3
WebOTX Application Server Standard V9.3
WebOTX Application Server Enterprise V9.3

対処方法

[対策]

脆弱性が解消されたサンプルプログラムを下記から取得し、置き換えてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138

[回避策]

本サンプルプログラムをサーバに配備しないようにしてください。
すでに配備済みの場合には、配備解除してください。

参考情報

Japan Vulnerability Notes JVN#95989300:
Apache Struts におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN95989300/

CVE-2015-5169:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5169

更新情報

2017/07/21: WebOTX を登録しました。