【目次】
リスト
【脆弱性リスト】
公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
備考 |
---|---|---|---|---|---|---|---|---|
2007/08/27 | 2007/08/27 | CVE-2007-4556 | NVD | S2-001 | - | - | - | CVSS 2.0: 6.8 (NVD) |
2013/07/19 | 2013/02/19 | CVE-2013-2251 | NVD | ベンダー | 9.8(NVD) |
CWE-74 | インジェクション | |
2014/03/11 | 2013/12/03 | CVE-2014-0094 | NVD | S2-020 | - | - | - | CVSS 2.0: 5.0 (NVD) |
2020/08/13 | 2018/11/14 | CVE-2019-0230 | NVD | s2-059 | 9.8(NVD) |
CWE-1321 | オブジェクトのプロトタイプ属性の不適切な変更 | |
2020/08/13 | 2018/11/14 | CVE-2019-0233 | NVD | s2-060 | 7.5(NVD) |
CWE-281 | 不適切なアクセス制御 | |
2023/06/14 | 2023/05/28 | CVE-2023-34149 | NVD | S2-064 | 6.5(NVD) 4.3(Apache)) |
CWE-770 | 制限またはスロットリング無しのリソースの割り当て | |
2023/06/14 | 2023/06/04 | CVE-2023-34396 | NVD | S2-064 | 7.5(NVD) 4.3(Apache) |
CWE-770 | 制限またはスロットリング無しのリソースの割り当て | |
2023/09/13 | 2023/09/04 | CVE-2023-41835 | NVD | S2-065 | 7.5(NVD) |
CWE-459 | CWE-459 | |
2023/12/07 | 2023/12/04 | CVE-2023-50164 | NVD | ベンダー | 9.8(NVD) |
CWE-552 | 外部からアクセス可能なファイルまたはディレクトリ |
CVE
【Apache Struts2】
◆CVE-2007-4556 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2007-4556
◆CVE-2013-2251 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2013-2251
◆CVE-2023-41835 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2023-41835
◆CVE-2023-50164 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2023-50164
記事
【ニュース】
■2007年
◆Apache Struts2に深刻な脆弱性 (ZDNet, 2007/09/05 21:46)
http://japan.zdnet.com/security/analysis/20355835/
⇒ https://vul.hatenadiary.com/entry/2007/09/05/000000
■2013年
◆「Apache Struts 2」の脆弱性を悪用する攻撃ツールが公開 - 3日間で37件の被害 (Security NEXT, 2013/07/19)
http://www.security-next.com/041776
⇒ https://vul.hatenadiary.com/entry/2013/07/19/000000
◆「Apache Struts2」の脆弱性を狙う攻撃が急増、確認と対策を呼びかけ(ラック) (NetSecurity, 2013/07/19 17:06)
http://scan.netsecurity.ne.jp/article/2013/07/19/32116.html
⇒ https://vul.hatenadiary.com/entry/2013/07/19/000000_1
◆Apache Struts2の脆弱性を悪用した攻撃が急増、ラックが緊急で注意喚起 (Nikkei BP News, 2013/07/19)
http://www.nikkeibp.co.jp/article/news/20130719/358517/
⇒ https://vul.hatenadiary.com/entry/2013/07/19/000000_2
■2017年
◆深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も (Security NEXT, 2017/09/07)
http://www.security-next.com/085579
◆「Apache Struts 2」の脆弱性、悪用コードが公開済み - 関連機関が注意喚起 (Security NEXT, 2017/09/06)
http://www.security-next.com/085518
◆「Apache Struts 2」の公開済み脆弱性、ラックでは攻撃未確認 (Security NEXT, 2017/09/06)
http://www.security-next.com/085542
◆Apache Struts 2が更新--脆弱性は3件 (ZDNet, 2017/09/06 12:12)
https://japan.zdnet.com/article/35106856/
◆「Apache Struts 2」に危険度の高いRCE脆弱性、修正バージョンの適用を推奨 (Internet Watch, 2017/09/06 13:03)
http://internet.watch.impress.co.jp/docs/news/1079383.html
◆「Apache Struts 2.5.13」がリリース - 深刻な脆弱性など修正 (Security NEXT, 2017/09/06)
http://www.security-next.com/085509
■2023年
◆「Apache Struts」にサービス拒否の脆弱性 - アップデートが公開 (Security NEXT, 2023/06/15)
https://www.security-next.com/147034
⇒ https://vul.hatenadiary.com/entry/2023/06/15/000000_3
◆「Apache Struts」にサービス拒否の脆弱性 - 修正版が公開 (Security NEXT, 2023/09/20)
https://www.security-next.com/149571
⇒ https://vul.hatenadiary.com/entry/2023/09/20/000000
◆Apache Strutsにリモートコード実行の脆弱性、速やかに更新を (マイナビニュース, 2023/12/12 08:48)
https://news.mynavi.jp/techplus/article/20231212-2838383/
⇒ https://vul.hatenadiary.com/entry/2023/12/12/000000
◆「Apache Struts」の脆弱性、一部Cisco製品にも影響 (Security NEXT, 2023/12/20)
https://www.security-next.com/152085
⇒ https://vul.hatenadiary.com/entry/2023/12/20/000000_1
【ブログ】
■2014年
◆IPAが注意喚起をしたApache Struts2の脆弱性CVE-2014-0094について調べてみた。 (piyolog, 2014/04/17)
http://d.hatena.ne.jp/Kango/20140417/1397750197
⇒ https://vul.hatenadiary.com/entry/2014/04/17/000000_6
■2017年
◆Apache Struts に新たな脆弱性「CVE-2017-9805」。企業は直ちに更新プログラムの適用を。 (Trendmicro, 2017/09/08)
http://blog.trendmicro.co.jp/archives/15842
【公開情報】
◆S2-001 (Apache Software Foundations)
Remote code exploit on form validation error
◆XWork AltSyntax OGNL Input Validation Vulnerability (Security Focus, 2007/09/04)
http://www.securityfocus.com/bid/25524/info
⇒ https://vul.hatenadiary.com/entry/2007/09/04/000000
◆Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052) (IPA, 2017/09/07)
https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html
【Exploit Code】
◆An exploit for Apache Struts CVE-2017-9805 (mazen160)
https://github.com/mazen160/struts-pwn_CVE-2017-9805
◆Apache Struts 2 REST Plugin XStream Remote Code Execution (packet storm, 2017/09/07)
https://packetstormsecurity.com/files/144034/Apache-Struts-2-REST-Plugin-XStream-Remote-Code-Execution.html
◆Apache Struts 2.5.12 XStream Remote Code Execution (packet storm, 2017/09/07)
https://packetstormsecurity.com/files/144050/Apache-Struts-2.5.12-XStream-Remote-Code-Execution.html
◆Apache Struts 2.5 < 2.5.12 - REST Plugin XStream Remote Code Execution
https://www.exploit-db.com/exploits/42627/