2017年3月7日、Struts2にリモートから任意のコード実行可能な脆弱性が確認されたとして情報(S2-045)が公開されました。また同様の脆弱性が他にも存在するとして、2017年3月20日に脆弱性情報(S2-046)も公開されています。ここでは脆弱性の関連情報をまとめます。 脆弱性の概要 対象 Apache Struts2 CVE CVE-2017-5638 影響 RCE 重要度 High(Apache Struts) CVSS 7.3(Base) CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 7.5(Base) AV:N/AC:L/Au:N/C:P/I:P/A:P (JVNより) PoC インターネット上に公開済 悪用の状況 攻撃観測情報あり(2017/03/07) 発見者/報告者 Nike Zheng氏(S2-045) Chris Fro