区分
JVN番号
タイトル
JVN
深刻度
深刻度
最終更新日
CVE番号
Update
JVNDB-2016-000096
Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性
8.1
2020/09/02 10:42
CVE-2016-1181
JVNDB-2016-000096
Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性
- 概要
- Apache Struts 1 の ActionForm は、次の 2 つの条件が成立する場合、Servlet や ClassLoader など、サーバのメモリ上にあるコンポーネントを操作可能な脆弱性が存在します。
条件1.
次の ActionForm (サブクラスを含む) をセッションスコープに置いており、同一のセッションを処理する複数のスレッドが、同一の ActionForm インスタンスにアクセスできる
・ActionForm (DynaActionForm とそのサブクラスのように、DynaBean インターフェースを実装したクラスは除く)
・ValidatingActionForm
・ValidatorForm
・ValidatorActionForm
条件2.
マルチパート形式のリクエストを受け付ける
(ウェブアプリケーションがマルチパート形式のフォームを使用していない場合も該当する) - 想定される影響と対策
- ウェブアプリケーションの実装により異なりますが、サービス運用妨害 (DoS) 状態にさせられる可能性があります。 場合によっては ClassLoader を操作されることで、Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
2013年4月5日をもって、Apache Struts 1 はサポートを終了しています。 対策方法や修正パッチの有無は、Struts 1 を使用する各開発者の情報をご確認ください。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 8.1 6.8CVECVE-2016-1181公表日2016/06/07 00:00登録日2016/06/07 14:02更新日2020/09/02 10:42
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
