Apache Strutsにクロスサイトスクリプティングの脆弱性が2件 - IPA
1件目は、JSPファイルに対し直接アクセスが可能な場合におけるクロスサイトスクリプティングの脆弱性。XSSフィルタが無効になっているユーザのInternet Explorer上で、任意のスクリプトを実行される可能性がある。
最新版へのアップデートが対策方法となるが、Apache Strutsの開発者は、直接アクセスできないようにJSPファイルをWEB-INFフォルダ内に移動する、web.xmlにセキュリティ設定を追記するといった対応も推奨している。
2件目は、devModeが有効になっている場合におけるクロスサイトスクリプティングの脆弱性。ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。
こちらも最新版へのアップデートが対策方法となるが、アップデートを適用できない場合は、devModeを無効にすることで、同問題の影響を回避できるという。
提供元の記事
提供:
関連リンク
-
特別な一貫から気軽な一皿まで。覚えておきたい寿司の店|東京
-
new
「退職金か、娘の人生か」…父親が迫られた最後の選択とは
-
new
嫁にコーヒーをかけ…事故を装う義妹!?しかし⇒嫁「気づかなかった?」テーブル下の仕掛けに「…へ?」
-
new
「お子さん中学生だぁ(笑)」妻子を煽る浮気女。しかし数年後⇒成長した娘の【報復】が待っていて…「え…?」
-
通勤前の接続ロスも、渋滞中の待機時間も、車内でまとめてアップデート。Wireless CarPlay / Android Auto対応、Android 13搭載「GetPairr AI Box 2.0」が通常価格25,974円から特別価格15,840円で販売中