Apache Wicket Addresses Critical RCE Vulnerability (CVE-2024-36522)
2024/06/04 SecurityOnline — Apache がリリースしたのは、Wicket PMC (Project Management Committee) に存在する、深刻なリモート・コード実行の脆弱性 CVE-2024-36522 に対するセキュリティ・アップデートであり、この広く使われている Java Web アプリケーション・フレームワークの問題が対処された。この脆弱性は、Apache Wicket の初期バージョンで発見された、潜在的な XSLT インジェクションに起因するものだ。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で、任意のコードを実行する可能性を手にする。
Apache Wicket は、人気のオープンソース・フレームワークであり、世界中の何千もの Web アプリ/サイトを支えている。そのユーザー・フレンドリーでコンポーネント指向の設計により、政府/教育/金融、e コマースなどの、多様な分野の開発者に愛用されている。
この脆弱性は Critical に分類され、その悪用に成功した攻撃者は、脆弱な Web アプリケーションを制御し、機密データを暴露する可能性を持つ。悪意の XSLT コードを注入する攻撃者は、このフレームワークの機能を悪用し、サーバ側で有害なコマンドを実行する可能性を手にする。
Apache は、Wicket PMC の脆弱性 CVE-2024-36522 に対するパッチを取り込んだ、アップデート・バージョン 9.18.0/10.1.0 をリリースし、この問題に迅速に対処した。Apache Wicket を利用している組織や個人にとって重要なことは、これらの最新バージョンへと直ちにアップグレードすることだ。
この新しいリリースは、セキュリティとバグの修正に加えて、フレームワークの機能とユーザー・エクスペリエンスを向上させるものとなっている。それらには、以下が含まれる:
- 9.18.0: ライブセッション・エラーと minification 問題を修正している。さらに、簡単に使える新たなドロップダウン・コンポーネントと自動ラベル機能を更新している。
- 10.1.0: ギリシャ語アプリケーション i18n への対応と、websocket 例外の修正に加えて、ModalDialog API を強化している。さらに、ロック・シナリオにおける、デバッグ情報の提供を改善している。
このブログでは、Apache Wicket は初登場です。文中で、人気のオープンソース・フレームワークと指摘されているだけに、脆弱性を放置して侵害されると、サプライチェーン攻撃へと発展する恐れが生じます。ご利用のチームは、ご注意ください。よろしければ、Framework で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.