ブログ IP住所検索
CWE一覧に戻る
CWE-608

Struts:ActionFormクラスの非プライベートフィールド

Struts: Non-private Field in ActionForm Class
脆弱性 レビュー中
日本語説明
JA

ActionForm クラスには、private と宣言されていないフィールドがあり、セッターやゲッターを使わずにアクセスすることができます。

原文 (English)
EN

An ActionForm class contains a field that has not been declared private, which can be accessed without using a setter or getter.

関連する脆弱性
CWE-668 誤った領域への資源の露出
想定される影響
Scope: Integrity, Confidentiality / Impact: Modify Application Data; Read Application Data
対策・緩和策
Make all fields private. Use getter to get the value of the field. Setter should be used only by the framework; setting an action form field from other actions is bad practice and should be avoided.
外部リンク
MITRE公式ページ — CWE-608