Critical Flaw CVE-2024-53299 in Apache Wicket: Memory Leak Flaw Exposes Web Apps to DoS Attacks
2025/01/25 SecurityOnline — 人気の Java ベースの Web App フレームワーク Apache Wicket に、きわめて深刻な脆弱性 CVE-2024-53299 が存在することが判明した。この脆弱性の悪用に成功した攻撃者は、意図的にメモリ・リークをトリガーし、影響を受ける Web アプリケーションに対してサービス拒否 (DoS) 攻撃を仕掛けられることが分かった。
Apache Wicket は、クリーンなマークアップと再利用可能なコンポーネントを使用して、Web アプリケーションを開発するために設計された、OSS のフレームワークである。そのシンプルさと効率性により、開発者の間で人気を博す Apache Wicket は、Java と HTML を組み合わせることで、従来からの複雑なフレームワークに代わる斬新な選択肢を提供している。
この新たに発見された脆弱性は、Apache Wicket のリクエスト処理コアに影響を及ぼすものだ。Apeche のアドバイザリで詳しく説明されているように、この欠陥の悪用に成功した攻撃者は、サーバに対してリクエストを繰り返して送信し、サーバ・リソースを圧倒し、メモリ・リークをトリガーできる。このような手口でメモリ不足に陥ることで、アプリケーションのクラッシュなどが発生し、DoS 攻撃につながる可能性が生じる。
このアドバイザリでは、「攻撃者は意図的にメモリ・リークをトリガーできる」と警告されている。
この問題は、Pedro Santos により適切に開示された。この脆弱性は、Apache Wicket の広範なバージョンに影響を及ぼす:
- Wicket 7.0.0 〜 7.18.*
- Wicket 8.0.0-M1 〜 8.16.*
- Wicket 9.0.0-M1 〜 9.18.*
- Wicket 10.0.0-M1 〜 10.2.*
Apache Wicket に依存するアプリケーションに対して、CVE-2024-53299 は深刻なリスクをもたらすものであり、Critical と評価されている。このメモリ・リークの脆弱性を悪用する攻撃者は、リソース枯渇を悪用することでビジネスを中断させ、正当なユーザーによるシステムの使用を妨害できる。
すでに Apache Wicket チームは、必要なパッチを取り込んだバージョン 9.19.0/10.3.0 をリリースし、この問題に対処している。すべてのユーザーに対して強く推奨されるのは、可能な限り早急に修正バージョンへとアップグレードし、アプリケーションのセキュリティを確保することだ。
Apache Wicket の脆弱性が FIX しました。放置するとサービス拒否 (DoS) 攻撃の可能性あります。ご利用のチームは、ご注意ください。関連記事としては、2024/06/04 の「Apache Wicket の脆弱性 CVE-2024-36522 が FIX:重大なリモート・コード実行の恐れ」があります。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.