Java WebアプリケーションフレームワークのApache Struts2に脆弱性が見つかった問題で、この脆弱性を修正したとされるバージョンは、実際には修正が不十分であることが分かった。さらに、この脆弱性は既にサポートが終了しているApache Struts1にも存在することが判明した。
脆弱性はApache Struts 2.0.0〜2.3.16に存在する。細工されたリクエストをWebサーバに送りつけるとClassLoaderが不正操作され、情報が流出したり、任意のコードを実行されたりする恐れがある。修正版というApache Struts 2.3.16.1が3月2日にリリースされていた。

恐ろしいことですが、実装が全然違うStruts2の脆弱性S2-020と同様の攻撃手法で、Struts1も脆弱性があることが分かりました。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ここではあまり明らかになっていませんが、原因は https://github.com/apache/struts1/blob/STRUTS_1_2_BRANCH/src/share/org/apache/struts/util/RequestUtils.java#L493

S2-020類似攻撃のStruts1での対策方法 - Qiita

株式会社ジェイピー・セキュア（本社：川崎市幸区、代表取締役：矢次弘志、以下「JP-Secure」）は、深刻な脆弱性が報告されたApache Strutsの脆弱性に関し、影響度の大きさから注意喚起を行うとともに、脆弱性対応が難しいお客様を支援する目的で、当社「SiteGuard」シリーズ製品を3ヶ月間無償でご利用いただける「SiteGuard緊急対応プログラム」を実施いたします。本プログラムは20社様限定で、お申込み期間は2014年4月30日より2014年5月31日までとなっております。

http://www.jp-secure.com/cont/corp/news/2014/140430.html