Apache Software Foundationは米国時間の4月24日、Java WebアプリケーションフレームワークのApache Struts2の最新版で修正したはずの脆弱性がまだ存在することを確認したと発表した。この脆弱性を“完全に”修正したバージョンは、早ければ米国時間の27日までに公開される見通し。それまでの回避策が紹介されている。
Apache Software Foundationによると、Apache Struts 2.0.0〜2.3.16.1にはClassLoaderに起因する脆弱性が存在する。当初、この脆弱性は2.3.16.1で修正されたとしていたが、実際には不十分だったことが、三井物産セキュアディレクションなどの指摘で判明した。

Apache Struts 2 の脆弱性「CVE-2014-0094」を狙う「Proof-of-concept（PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード）」が、インターネット上で公開されていることをトレンドマイクロでは確認しここに注意喚起いたします。

Apache Struts 2 の脆弱性を狙う PoC を確認｜トレンドマイクロ セキュリティブログ | トレンドマイクロ セキュリティブログ