製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Struts における複数のクロスサイトスクリプティングの脆弱性

Title	Apache Struts における複数のクロスサイトスクリプティングの脆弱性
Summary	Apache Struts には、(1) s:a タグの href 属性内にある " (ダブルクォート) 文字列、(2) s:url タグの action 属性内にあるパラメータの処理に関連した、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 9, 2009, midnight
Registration Date	June 9, 2011, 10:21 a.m.
Last Update	June 9, 2011, 10:21 a.m.

Affected System

Apache Software Foundation

Apache Struts 2.0.11.1 未満の 2.0.x

Apache Struts 2.1.1 未満の 2.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-6682	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-6682
National Vulnerability Database (NVD)
2	CVE-2008-6682	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6682

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Apache Struts 2 Documentation Migration Guide
1	Migration Guide	http://struts.apache.org/2.2.3/docs/migration-guide.html

その他

No	Name	URL
Secunia Advisory
1	SA43717	http://secunia.com/advisories/43717
SecurityFocus
2	34686	http://www.securityfocus.com/bid/34686

Change Log

No	Changed Details	Date of change
0	[2011年06月09日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-6682

Summary	Multiple cross-site scripting (XSS) vulnerabilities in Apache Struts 2.0.x before 2.0.11.1 and 2.1.x before 2.1.1 allow remote attackers to inject arbitrary web script or HTML via vectors associated with improper handling of (1) " (double quote) characters in the href attribute of an s:a tag and (2) parameters in the action attribute of an s:url tag.
Summary	Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Apache Struts v2.0.x anteriores a v2.0.11.1 y v2.1.x anteriores a v2.1.1 permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de vectores asociados con el manejo no adecuado de (1) " (comillas doble) en el atributo href en una etiqueta s:a, y (2) parámetros en el atributo acción de una etiqueta s:url.
Publication Date	April 10, 2009, 12:08 a.m.
Registration Date	Jan. 29, 2021, 1:50 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449.html	cve@mitre.org
2	http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449i20.html	cve@mitre.org
3	http://www.securityfocus.com/bid/34686	cve@mitre.org
4	https://issues.apache.org/struts/browse/WW-2414	cve@mitre.org
5	https://issues.apache.org/struts/browse/WW-2427	cve@mitre.org
6	http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449.html	af854a3a-2127-422b-91ae-364da2661108
7	http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449i20.html	af854a3a-2127-422b-91ae-364da2661108
8	http://www.securityfocus.com/bid/34686	af854a3a-2127-422b-91ae-364da2661108
9	https://issues.apache.org/struts/browse/WW-2414	af854a3a-2127-422b-91ae-364da2661108
10	https://issues.apache.org/struts/browse/WW-2427	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html