独立行政法人情報処理推進機構が2023年1月25日に公開した「情報セキュリティ10大脅威 2023」※1 では、Struts2などの「脆弱性対策情報の公開に伴う悪用増加」が8位にランクインしました。近年では、脆弱性が発見されてからそれを悪用した攻撃が発生するまでの期間が短くなっており、より迅速な対応が求められています。
初代Struts(Struts1)は、2001年に初版がリリースされてから多くのWebアプリケーション開発で利用されてきました。しかし、脆弱性が数多く指摘されるようになり、2013年4月にサポート終了を迎えました。新たな脆弱性が発生してもセキュリティパッチや修正版が提供されないため、Struts1を使い続けることは大きなリスクとなっています。Struts1の後継として2007年にStruts2がリリースされましたが、このStruts2にも何度も脆弱性が見つかり※2 、Struts1、Struts2とも、重大な脆弱性を数多く指摘されています。
また、Strutsのように、2000年代に構築した企業向けJavaシステムの開発で頻繁に利用されてきたSeasar2が提供するプロダクトの多くが2016年9月26日をもってサポート終了を迎えました。
Struts同様に新たな脆弱性が発生してもセキュリティパッチや修正版が提供されないため、Seasar2を使い続けることは大きなリスクとなっています。
※1 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2023」
※2 Japan Vulnerability Notes「脆弱性レポート一覧」