Oracle устранила уязвимости в Apache Struts 2

Компания Oracle выпустила патчи, исправляющие несколько уязвимостей в фреймворке Apache Struts 2, среди которых и активно эксплуатируемая злоумышленниками CVE-2017-9805.

Фреймворк Apache Struts используется во множестве продуктов Oracle, в том числе Oracle MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel, WebLogic Server и различных программных продуктах для работы с финансами и страховыми полисами.

Уязвимость CVE-2017-9805 существует по причине программной ошибки в процессе обработки Apache Struts данных из недоверенных источников. А точнее плагин REST не способен обработать полезную нагрузку XML при должной десериализации.

Ранее компания выпустила ряд патчей для других уязвимостей в Apache Struts, в том числе CVE-2017-5638, CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804 и CVE-2017-12611.

Источник: securitylab.ru