新たに公開されたApache Struts 2のXWorkコンポーネントにおける脆弱性は、世界中のJava Webアプリケーションにとって重大な脅威となっています。
CVE-2025-68493として追跡され、重要(Important)深刻度と評価されたこの欠陥は、システムが未パッチのままの場合、機密データの露出につながり、攻撃者がサービス拒否やサーバーサイド・リクエスト・フォージェリ(SSRF)攻撃を仕掛けることを可能にする恐れがあります。
この脆弱性は、XWorkコンポーネント内におけるXML設定解析の不適切な検証に起因します。
同コンポーネントがXML入力を安全に処理しないため、XML外部実体(XXE)インジェクション攻撃に対して脆弱です。
この重大な弱点により、攻撃者はアプリケーションをだまして外部実体を処理させる悪意のあるXMLペイロードを作成でき、ローカルファイルの読み取り、内部ネットワークリソースへのアクセス、機密データの流出、サービス可用性の妨害につながる可能性があります。
この脆弱性は、旧来のブランチおよび現行ブランチを含む幅広いStruts 2のバージョンに影響します。
特に懸念されるのは、多くのサポート終了(EOL)バージョンがApacheによってもはや積極的に保守されていないにもかかわらず、本番環境で依然として広く導入され、脆弱なままである点です。
XML設定に依存し、かつ信頼できない入力にさらされているアプリケーションは、悪用されるリスクが最も高くなります。
Apache Strutsチームはパッチを公開し、影響を受けるすべての組織に対してStruts 6.1.1以降へのアップグレードを推奨しています。
管理者にとって朗報なのは、この修正が後方互換であり、多くの導入環境でアップグレード手順を簡素化できる点です。
直ちにシステムへパッチを適用できない組織向けには、XML解析の挙動を強化することで一時的な緩和策を実装できます。
管理者は、外部実体をデフォルトで無効化するカスタムSAXParserFactoryを導入するか、JVMレベルのシステムプロパティを設定して外部DTD、スキーマ、スタイルシートをブロックできます。
これらの暫定措置は、組織が完全なパッチ適用に向けて取り組む間、有効な防御を提供します。
この脆弱性はZAST.AIによって報告され、広く利用されるJavaフレームワークが継続的なセキュリティ精査にさらされていることを浮き彫りにしています。
Strutsには著名なセキュリティインシデントにおける記録された履歴があることから、組織はパッチ適用の優先順位付けにおいて本件の欠陥を最優先で扱うことが強く推奨されます。
セキュリティチームは、潜在的な悪用やデータ侵害を防ぐため、脆弱なバージョンがインフラ内から削除されているか、または十分に緩和されていることを直ちに確認すべきです。
翻訳元: https://cyberpress.org/apache-struts-2-vulnerability/