委託先からあらためて返事が来ました。
思ったよりは早かったのですが…IPA側の見解は聞けずじまい、になりそうです。
Struts1については、予想通り「専門ベンダの独自サポートを受けている」とのことなので、Struts1自体の脆弱性が発見されたら対処されるでしょう(WAF有無については言及なし)。
また、今後、何らかの対応を検討しているそうです(具体的に何かはわかりませんが)。
ただ、もう1点の指摘事項(登録セキスペ用のオンライン受講システムに限って言えば大きな問題ではなさそう)がずっと放置されていたところを見ると、Webアプリケーション自体の脆弱性検査は受けていない模様です。
これ↓に「まずい実装」という趣旨で書かれているのと同じ作りになっている部分があります。
プロが見逃すわけがない。
実際には悪用できるかどうかまでは試していないので「脆弱性」といえるかどうかはわかりませんが(人によっては、試すまでもなく「脆弱性がある」と言い切るかもしれない)、少なくとも脆弱性を生みそうな作りになっていることは確かです。
よほど酷い仕様・実装になっていない限り、Webアプリケーション等の修正はすぐにできると思いますけど(今後、調査と対応を進めるそうです)。
登録セキスペの登録申請準備以降の記事一覧はこちらです。