Blog|Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)PoC 検証2020 年 12 月 8 日に Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)が公開されました。 影響としては、Struts 2.5.25 までのバージョンで OGNL 式の二重評価によってリモートコード実行(RCE)が引き起こされる恐れがあります。 また、既に PoC(攻撃)コードが公開されていますので、Apache Struts 2 を利用されている方は 2.5.26 へアップデートを行うことをお勧めします。 Security Bulletins S2-061 https://cwiki.apache.org/confluence/display/WW/S2-061 yamory では、PoC コードの検証を行い悪用可能であることも確認しました。 脆弱性を悪用した攻撃の仕組み 検証環境今回は以下のような環境で検証を行いました。 ベースイメージ
