製品・ソフトウェアに関する情報
脆弱性検索
** 削除 ** Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
タイトル ** 削除 ** Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
概要

** 削除 ** 本案件は、JVNDB-2014-000045 の内容と重複していることが判明したため削除されました。JVNDB-2014-000045 を参照してください。 ・JVNDB-2014-000045 http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html Apache Struts の ParametersInterceptor には、ClassLoader を "操作 (manipulate)" される脆弱性が存在します。

想定される影響 第三者により、class パラメータを介して、getClass メソッドに渡されることで、 ClassLoader を "操作 (manipulate)" される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2014年3月6日0:00
登録日 2014年3月12日13:55
最終更新日 2014年6月3日17:17
影響を受けるシステム
Apache Software Foundation
Apache Struts 2.3.16.1 未満
富士通
FUJITSU Integrated System HA Database Ready 
Interstage Business Analytics Modeling Server
Interstage Business Process Manager Analytics
Interstage eXtreme Transaction Processing Server
Interstage Mobile Manager
Interstage Application Development Cycle Manager 
Interstage Application Framework Suite 
Interstage Application Server 
Interstage Apworks 
Interstage Business Application Server 
Interstage Job Workload Server 
Interstage Service Integrator 
Interstage Studio 
ServerView Resource Orchestrator
Symfoware Analytics Server
Symfoware Server
Systemwalker Service Catalog Manager 
Systemwalker Service Quality Coordinator 
Systemwalker Software Configuration Manager 
TRIOLE クラウドミドルセット Bセット
クラウド インフラ マネージメント ソフトウェア 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年03月12日]
  掲載
[2014年04月17日]
  CVSS による深刻度:内容を更新
  参考情報:IPA 緊急対策情報 (Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)) を追加
[2014年04月28日]
  ベンダ情報:Apache Software Foundation (S2-021) を追加
[2014年05月14日]
  影響を受けるシステム:富士通 (CVE-2014-0094 他 に関する影響) の情報を追加
  ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
[2014年05月20日]
  ベンダ情報:富士通 (Interstage BPMA他 CVE-2014-0094) を追加
[2014年05月28日]
  ベンダ情報:富士通 (Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)) を追加
[2014年06月03日]
  ベンダ情報:富士通 (Symfoware Server(Openインタフェース): Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)) を追加
[2014年06月16日]
  概要に記載の理由により削除扱いに変更		 2018年2月17日10:37
NVD脆弱性情報
CVE-2014-0094
概要

The ParametersInterceptor in Apache Struts before 2.3.16.2 allows remote attackers to "manipulate" the ClassLoader via the class parameter, which is passed to the getClass method.

公表日 2014年3月11日22:00
登録日 2021年1月26日15:04
最終更新日 2024年11月21日11:01
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* 2.0.0 2.3.16.1
関連情報、対策とツール
共通脆弱性一覧