2008年からのApache Strutsのすべてのバージョン(Struts バージョン2.1.2 - 2.3.34、2.5 - 2.5.16)が影響を受け、フレームワークのRESTプラグインを利用しているすべてのアプリケーションが遠隔攻撃の危険にさらされます。
この脆弱性が脅威となる理由としてSemmleのセキュリティ研究者は「なによりも(この脆弱性は)アタッカーがこの弱点を攻撃するのが恐ろしいほど簡単なのである。ウェブブラウザさえあればいいのだ」と語っています。
アタッカーにとって必要なのは、対象となるサーバーの脆弱性を刺激するために特定のフォーマットに悪意のあるXMLコードを送るだけでいいのです。
脆弱性の開拓が成功すると、アタッカーは影響のあるサーバーを完全に掌握することが可能になり、いずれは同じネットワークの他のシステムに侵入することが可能になります。
Semmleによると、この欠陥は、2015年に発見されたApache Commons Collectionsの脆弱性に似ている、JAVAの危険な脆弱性であるとのことです。
最近は、多くのJAVAアプリケーションが複数の似た脆弱性の影響を受けています。
Strutsバージョン2.3.35および2.5.17のリリースでこの脆弱性は修正されているので、Apace Strutsを使用する組織や開発者はできるだけ早くApache Strutsのコンポーネントをこのバージョンにアップグレードすることが強く勧められています。
Strutsは一般向けのウェブサイトに使われていることから、アタッカーにとっては容易に悪用できるものです。Semmleは「影響を受けるシステムは直ちにアップグレードすることが決定的に重要で、対応が遅れれば無責任なリスクを冒す」と警告しています。