問題
- セキュリティスキャンにより、struts-coreに関連する以下の脆弱性が検出されました : CVE-2012-1007, CVE-2014-0112
CVE-2014-0112: Apache Struts 2.3.20 以前の ParametersInterceptor は、getClass メソッドへのアクセスを適切に制限していないため、リモート攻撃者が細工したリクエストを介して ClassLoader を「操作」して任意のコードを実行することができます。 注意:この脆弱性は、CVE-2014-0094 の修正が不完全であるために存在します。
CVE-2012-1007: Apache Struts 1.3.10 の複数のクロスサイトスクリプティング (XSS) の脆弱性により、リモート攻撃者は (1) struts-examples/upload/upload-submit.do の name パラメータ、または (2) struts-cookbook/processSimple.do または (3) struts-cookbook/processDyna.do の message パラメータを介して任意のウェブスクリプトまたは HTML を注入することができます。
環境
-
DXP 7.4、DXP 7.3、DXP 7.2、DXP 7.1、DXP 7.0
解像度
CVE-2014-0112: Liferay は Struts 2.x を使用していないため、この CVE の脆弱性を受けることはありません
CVE-2012-1007のことです: Liferayは当該脆弱性の影響を受けません。CVEでは、以下のコンポーネントを介して脆弱性が悪用される可能性があるとしています:
-
struts-examples/upload/upload-submit.do
-
struts-cookbook/processSimple.doの場合。
-
struts-cookbook/processDyna.doの場合。
Liferayは、 struts-examples と struts-cookbook をパッケージとして提供していないため、悪用することができません。
追加情報: