Apache Struts 2に脆弱性が確認された。影響を受けるのはStruts 2.0.4~2.3.34及び2.5.0~2.5.16で、alwaysSelectFullNamespace を true に設定し、Strutsの設定ファイルでnamespaceの値が指定されていない又はワイルドカードネームスペースで指定した際に“value”や“action”が指定されていないURLタグが含まれている場合に影響を受ける。この脆弱性が悪用されると、細工されたHTTPリクエストを送信することで任意のコードが実行可能となり、重要度はCriticalとなっている。同社はこの脆弱性を修正したStruts 2.3.35及びStruts 2.5.17を公開した。
また、Cisco SystemsやOracleはセキュリティアドバイザリを公開し、影響を受ける製品情報の公開やこの脆弱性に対応した製品を公開した。この脆弱性は条件が満たされた環境において悪用が容易で、すでに実証コードも複数公開されていることから、早めに脆弱性対応を行うよう呼び掛けている。
