調査したところ弊社製品では今回の脆弱性を有するバージョンは利用しておらず、影響しないことを確認しております。
eBASEwebでは、脆弱性が発見されたとされるバージョンのStrutsを利用しておりません。
対象となるバージョン範囲外の安全なバージョンを使用しています(※1)。ソースコードレベルでの徹底的な検証を実施した結果、脆弱性を引き起こす可能性があるコードは、当社製品に含まれていないことを確認しました。また、これらの疑わしいコードはコンパイルされたライブラリにも存在しておりません(※2)。脆弱性の検証用ツールを用いてeBASEwebに対する攻撃シナリオを試みましたが、一切の影響がないことが確認されました(※3)。
※1
Struts 2.0.0 - Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.32
Struts 6.0.0 - Struts 6.3.0
※2
https://github.com/apache/struts/commits/master/core/src/main/java/
※3
https://github.com/jakabakos/CVE-2023-50164-Apache-Struts-RCE/
なお、弊社使用のバージョンにつきましては機密情報となりますため非公開とさせていただいております。
本脆弱性に関する情報は、下記URLをご確認ください。
■Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)
https://jvn.jp/vu/JVNVU96961218/
フレームワークを「Spring Framework」に切り替えてより一層セキュリティを堅牢にしたeBASEweb Ver4も
ご提供させていただいておりますので、お客様のニーズに合わせてバージョンアップください。
Ver4へのバージョンアップをご希望のお客様は、詳細やご相談につきまして弊社営業担当までお問い合わせください。