1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Apache Struts2で致命的な脆弱性(CVE-2024-53677)

Apache Struts2で致命的な脆弱性(CVE-2024-53677)

セキュリティニュース

投稿日時: 更新日時:

Apache Struts 2で致命的な脆弱性(CVE-2024-53677)

Apache Struts 2.0から6.4.0 未満のバージョンで致命的な脆弱性が発生しており、対象者はバージョンアップする事をお勧めします。(CVE-2024-53677)

12月18日追記:PoCエクスプロイトが公開されたので悪用される可能性があります。

脆弱性の対象バージョン

Struts 2.0.0 から 6.4.0 未満のバージョン

パッチリリースバージョン

Struts 6.4.0 以降のバージョン

脆弱性の概要

アップロードされたファイルと通常のフィールドのセッターを混在させると、ファイルアップロードのチェックをバイパスできます。

CVSSスコアは9.5で致命的となっており回避策はありません。

関連記事

Apache Struts2の脆弱性を利用するPoCエクスプロイトが公開される(CVE-2024-53677)Apache Struts2の脆弱性を利用するPoCエクスプロイトが公開される(CVE-2024-53677) Apache OFBizが重大な脆弱性を修正(CVE-2024-45195)Apache OFBizが重大な脆弱性を修正(CVE-2024-45195) Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623) Ubuntuのneedrestartに脆弱性(CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224、CVE-2024-11003)Ubuntuのneedrestartに脆弱性(CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224、CVE-2024-11003)