Apache Struts2のprefixパラメータ処理の不備により任意のJavaコードが実行される脆弱性(CVE-2013-2251)に関する検証レポート Tweet 2013/07/23 NTTデータ先端技術株式会社 辻 伸弘 小松 徹也 【概要】 Apache Struts 2に、任意のJavaコードが実行される脆弱性が存在します。 この脆弱性は、DefaultActionMapper におけるprefixパラメータ処理時において、値をOGNL式(※)として評価するため、任意のJavaコードを実行可能です。 この脆弱性を悪用して、攻撃者はターゲットホスト上にて、APサーバの動作権限で任意のJavaコードの実行が可能です。 今回、このApache Struts 2のprefixパラメータ処理の不備により任意のJavaコードが実行される脆弱性(CVE-2013-2251)の再現性について