Компания Oracle выпустила патчи, исправляющие ряд уязвимостей во фреймворке Apache Struts 2, включая CVE-2017-9805, которая активно эксплуатируется злоумышленниками.
Уязвимость CVE-2017-9805 существует из-за программной ошибки в процессе обработки Apache Struts данных из недоверенных источников. Если говорить конкретнее, плагин REST не способен обработать полезную нагрузку XML при должной десериализации.
Представители Oracle подчеркнули, что уязвимость CVE-2017-5638 в Apache Struts, проэксплуатированная хакерами входе атаки на бюро кредитных историй Equifax, была исправлена во всех продуктах компании еще несколько месяцев назад с выпуском пакета обновлений Critical Patch Update (CPU) в апреле 2017 года.
Ранее компания выпустила ряд патчей для других уязвимостей в Apache Struts, в том числе CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804 и CVE-2017-12611.
Фреймворк Apache Struts используется во множестве продуктов Oracle, в том числе Oracle MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel, WebLogic Server и различных программах для работы с финансами и страховыми полисами. С полным списком продуктов, для которых доступны патчи, можно ознакомиться на сайте компании.

Источник: securitylab.ru