Fortifyソフトウェアセキュリティリサーチチームは、2018年8月31日に、WebInspect SecureBaseとして、S2-057/CVE-2018-11776のアップデートを提供致しました。

このアップデートは、Apache Struts2の重要なリモートコード実行(RCE)の脆弱性を検出するためのチェックを含んでいます。Apache Struts2のバージョン2.3.34(2.3.x系)まで、またはバージョン2.5.16(2.5.x系)までのバージョンを使用するアプリケーションでは、ネームスペースが設定されていないまたはネームスペースがワイルドカードであるアクション結果が含まれている場合、そして、struts.mapper.alwaysSelectFullNamespace プロパティがtrueに設定されている場合に、攻撃者は任意のOGNL式を実行することができます。リダイレクト、ポストバック、およびアクションチェーンの設定に対し影響が出ます。この脆弱性は、MITERのアドバイザリCVE-2018-11776によって確認されています。Apache Struts2のバージョンをベンダー推奨の修正されたバージョンにアップグレードすることをお勧めします。このチェックは、SecureBase id 11589によって識別され、この脆弱性に対するアプリケーションをテストするために、標準またはApache Strutsポリシーにアクセスできます。このチェックは、WebInspectバージョン17.20以上で機能します。

IBM WebSphereでホストされているアプリケーションは、IBM WebSphereの特殊文字の処理のために、この検査で誤検知が発生することが分かっています。アプリケーションがこの弱点に弱いと思われるが、この検査では検出されない可能性があるWebSphereアプリケーションをご利用されている場合は、弊社までお問い合わせください。