Man Yue Mo จาก lgtm.com รายงานช่องโหว่ CVE-2017-9805 กระทบ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด โดยเป็นช่องโหว่ unsafe desrialization เปิดทางให้แฮกเกอร์รันโค้ดจากระยะไกลได้ โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว ทุกคนควรอัพเดตโดยด่วน
Mo รายงงานช่องโหว่นี้ตั้งแต่เดือนกรกฎาคมที่ผ่านมา และทาง Struts ก็เตรียมแผนการออกอัพเดตตั้งแต่ต้นเดือนสิงหาคม โดยปัญหาสำคัญคือ REST API บางส่วนอาจจะไม่ทำงานเพราะอาศัยพฤติกรรมเดิมของ API ช่องทางแก้ปัญหาอย่างหนึ่งคือปิดการทำงาน REST ไปเสีย หากยังไม่สามารถอัพเดตได้
ช่องโหว่ Struts เคยถูกใช้เป็นเครื่องมือในการโจมตีเป็นวงกว้างเมื่อเดือนมีนาคมที่ผ่านมา จากช่องโหว่ CVE-2017-5638 ช่องโหว่นี้กระทบซอฟต์แวร์ระดับองค์กรจำนวนมาก เมื่อเดือนเมษายนแพตช์ตามรอบของออราเคิลก็เคยต้องอุดช่องโหว่จำนวนมากจาก Struts
ที่มา - The Register, lgtm Blog