A Apache Software Foundation disponibilizou atualização que corrige uma vulnerabilidade nas versões 2.3 a 2.3.34 e 2.5 a 2.5.16 do Apache Struts. O US-CERT (United States Computer Emergency Readiness Team) publicou uma nota sobre o assunto no último dia 22 de agosto.

O impacto causado pela vulnerabilidade possibilita a execução de código remoto, quando se é usado resultados sem namespace ao mesmo tempo que se utiliza ações sem namespace. A mesma situação pode ocorrer quando usamos a tag url que não possui valor ou ação.

A fim de solucionar a falha, recomenda-se aplicar a atualização necessária disponível para o Apache Struts 2.

Para mais informações sobre o alerta da US-CERT, clique aqui.