Direct Web Remoting (DWR) – XML 外部実体参照 (XXE) に関する脆弱性

Direct Web Remoting (DWR) は、Ajax アプリケーションを Java で開発するためのフレームワークです。
DWR には、XML 外部実体参照 (XXE) に関する脆弱性が存在します。
アプリケーションが DOM データを変換する機能 (DOMConverter, JDOMConverter, DOM4JConverter, XOMConverter) を使用している場合、細工されたリクエストを処理した際に、サーバ上の任意のファイルを読みとられる可能性があります。

——————————————————————————–

【影響を受けるシステム】
Direct Web Remoting
•DWR Version 2.0.10 およびそれ以前
•DWR Version 3.0.RC2 およびそれ以前
——————————————————————————–

【対策方法】

開発者が提供する情報をもとに DWR を最新版へアップデートし、DWR を利用して開発したアプリケーションの JAR ファイルを置き換えてください。