takahashikzn https://blog.hatena.ne.jp/takahashikzn/ R42日記 https://takahashikzn.root42.jp/ Struts2 久しぶりにStruts-2.2系がアップデートされていました。 緊急性の高いセキュリティFIXを行ったようです。 何がFIXされた？ POSTした値をアクションフォームにセットするとき、『文字列→値』の変換エラーになる場合は、 入力フォームにエラーの値を再表示してあげるわけですが、その方式に問題がありました。 入力エラー値を保持するときに、副作用として『一切のサニタイズなしで値をOGNLの式として再評価してしまう』という脆弱性が存在します。 問題の箇所は com.opensymphony.xwork2.interceptor.ConversionErrorInterceptor と com.o… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Ftakahashikzn.root42.jp%2Fentry%2F20110910%2F1315642385" title=" Struts-2.2.3.1リリース(緊急度高!!) - R42日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2011-09-10 17:13:05 rich https://takahashikzn.root42.jp/entry/20110910/1315642385 1.0 100%