| Summary | Multiple cross-site scripting (XSS) vulnerabilities in XWork in Apache Struts 2.x before 2.2.3, and OpenSymphony XWork in OpenSymphony WebWork, allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) an action name, (2) the action attribute of an s:submit element, or (3) the method attribute of an s:submit element. |
|---|---|
| Publication Date | May 14, 2011, 2:05 a.m. |
| Registration Date | Jan. 28, 2021, 4:38 p.m. |
| Last Update | Nov. 21, 2024, 10:27 a.m. |
| CVSS2.0 : LOW | |
| Score | 2.6 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:struts:2.0.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.12:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.8.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.11.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.14:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.2.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.11.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.13:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:struts:2.0.10:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:opensymphony:xwork:*:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensymphony:webwork:*:*:*:*:*:*:*:* | |||||
| Title | Apache Struts におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | Apache Struts には、クロスサイトスクリプティングの脆弱性が存在するウェブアプリケーションを作り出す問題があります。 Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。 Apache Struts には、クロスサイトスクリプティングの脆弱性が存在するウェブアプリケーションを作り出す問題があります。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社ユービーセキュア 杉山 俊春 氏 |
| Possible impacts | ユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。 |
| Publication Date | Dec. 22, 2011, midnight |
| Registration Date | Dec. 22, 2011, 12:01 p.m. |
| Last Update | Dec. 22, 2011, 12:01 p.m. |
| Apache Software Foundation |
| Apache Struts 2.0.x |
| Apache Struts 2.2.3 より前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2011年12月22日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |