Компания Oracle выпустила патчи, исправляющие несколько уязвимостей в фреймворке Apache Struts 2, среди которых и активно эксплуатируемая злоумышленниками CVE-2017-9805.
Фреймворк Apache Struts используется во множестве продуктов Oracle, в том числе Oracle MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel, WebLogic Server и различных программных продуктах для работы с финансами и страховыми полисами.
Уязвимость CVE-2017-9805 существует по причине программной ошибки в процессе обработки Apache Struts данных из недоверенных источников. А точнее плагин REST не способен обработать полезную нагрузку XML при должной десериализации.
Ранее компания выпустила ряд патчей для других уязвимостей в Apache Struts, в том числе CVE-2017-5638, CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804 и CVE-2017-12611.
Источник: securitylab.ru