製品・ソフトウェアに関する情報
Vulnerability Search
TERASOLUNA Server Framework for Java において ClassLoader が操作可能な脆弱性
Title TERASOLUNA Server Framework for Java において ClassLoader が操作可能な脆弱性
Summary

株式会社エヌ・ティ・ティ・データ が提供する TERASOLUNA Server Framework for Java(Web) は、ウェブアプリケーションを作成するためのソフトウェアフレームワークです。TERASOLUNA Server Framework for Java(Web) は、Apache Struts 1.2.9 を使用しており、Apache Struts 1.2.9 には、ClassLoader が操作可能な脆弱性 (CVE-2014-0114) が存在します。そのため、TERASOLUNA Server Framework for Java(Web) も同脆弱性の影響を受けます。

Possible impacts 当該製品が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 2014年5月23日、本脆弱性を修正した Apache Struts 1.2.9 with SP1 by TERASOLUNA を含む TERASOLUNA Server Framework for Java(Web) 2.0.5.2 が公開されました。
Publication Date June 17, 2014, midnight
Registration Date June 17, 2014, 12:03 p.m.
Last Update Aug. 7, 2015, 6:15 p.m.
CVSS2.0 : 危険
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
Affected System
株式会社エヌ・ティ・ティ・データ
TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年06月17日]
  掲載
[2014年07月09日]
  ベンダ情報:富士通 (Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年07月14日]
  ベンダ情報:IBM (1675523) の情報を追加
  ベンダ情報:IBM (1678009) の情報を追加
[2014年07月22日]
  ベンダ情報:Apache Software Foundation (BEANUTILS-463) を追加
  ベンダ情報:Apache Software Foundation (Commons BeanUtils Package Version 1.9.2 Release Notes) を追加
  ベンダ情報:IBM (1676303) を追加
  ベンダ情報:IBM (1676375) を追加
  ベンダ情報:IBM (1676931) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2014 Critical Patch Update Released) を追加
  ベンダ情報:レッドハット (Does CVE-2014-0114 affect Struts 1 in Red Hat products?) を追加
  ベンダ情報:レッドハット (Bug 1091938) を追加
  ベンダ情報:レッドハット (Bug 1116665) を追加
[2014年07月23日]
  ベンダ情報:日立 (HS14-018) を追加
[2014年08月05日]
  ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
  ベンダ情報:富士通 (Interstage Business Application Server, Interstage Application Server, Interstage Apworks, Interstage Studio, Interstage Application Framework Suite, Interstage Job Workload Server, Interstage Service Integrator : Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年08月06日]
  ベンダ情報:日立 (HS14-020) を追加
[2014年08月11日]
  ベンダ情報:IBM (1678621) を追加 
[2014年09月02日]
  ベンダ情報:IBM (1680848) を追加 
  ベンダ情報:IBM (1681190) を追加
  ベンダ情報:IBM (1680767) を追加
  ベンダ情報:IBM (1680194) を追加
[2014年10月21日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加 
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
[2015年01月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年08月07日]
  ベンダ情報:IBM (1676091) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-0114
Summary

Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.

Publication Date April 30, 2014, 7:49 p.m.
Registration Date Jan. 26, 2021, 3:04 p.m.
Last Update Nov. 21, 2024, 11:01 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:commons_beanutils:*:*:*:*:*:*:*:* 1.9.1
Configuration2 or higher or less more than less than
cpe:2.3:a:apache:struts:1.2.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:rc2:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b1:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b2:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b3:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.9:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List