リモートホストにインストールされているApache Strutsのバージョンは、6.1.2.1より前です。したがって、S2-063 のアドバイザリに記載されている脆弱性の影響を受けます。

  - WW-4620 は autoGrowCollectionLimit を XWorkListPropertyAccessor に追加しましたが、setProperty() のみを処理し、getProperty() は処理しません。これにより、開発者が基になるコレクション型フィールドに対して CreateIfNull を true に設定した場合、OOM が発生する可能性があります。(CVE-2023-34149)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Apache Struts 2.0.0 < 6.1.2.1 のサービス拒否 (S2-063)

medium Nessus プラグイン ID 177229

バージョン 1.1