JavaのウェブアプリケーションフレームワークのApache Struts 2の更新版となる「Struts 2.5.13」「同2.3.34」がリリースされた。3件の脆弱性を含む多数のバグが修正されている。
修正された脆弱性は、URLValidatorを使用した場合にサービス妨害(DoS)攻撃を誘発される問題や、Struts RESTプラグインで古いXStreamライブラリを使用した場合にDoSを誘発される問題、また、Struts RESTプラグインとXStreamハンドラを使用してXMLリクエストをデシリアライズした場合に遠隔から任意のコードを実行されてしまう問題になる。
3件の脆弱性はStruts 2.5~2.5.12に影響し、DoS関連の2件についてはStruts 2.3.7~Struts 2.3.33にも影響するとしている。
なお、任意のコードを実行される恐れのある脆弱性の「CVE-2017-9805」は、報告者によれば、2008年以降にリリースされたStrutsの全バージョンに影響するといい、最新版のStruts 2.5.13の早期適用を推奨している。