Критическая уязвимость в Apache Struts
Опубликовано обновление web-фреймворка Apache Struts 2.5.13, применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (CVE-2017-9805), позволяющей выполнить код на стороне сервера. Уязвимость проявляется при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяются по умолчанию).
В дистрибутивах проблема пока остается неисправленной: Debian, EPEL-7, Ubuntu. В SUSE, Fedora и RHEL Struts 2 не поставляется. Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST.