Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。

Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。

• 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
• S2-021

続きを読む