Apache軟體基金會（Apache Software Foundation）在本周二（9/5）釋出了Struts 2.5.13，並修補當中一個自2008年就存在的重大安全漏洞，可能允許駭客自遠端執行任意程式，呼籲用戶儘速更新。

Apache Struts為一開源的網頁應用程式框架，主要用來開發Java EE網路應用程式，受到眾多企業的青睞。Igtm.com的一名安全研究人員Man Yue Mo發現該框架反序列化不可靠資料的方式出了問題，造成只要是以Struts與流行的REST通訊外掛打造的應用程式，其代管伺服器都將允許駭客自遠端執行任何程式。

Igtm主要提供自動化的程式碼分析服務，並免費供應給開源碼專案，根據Igtm的說法，此一編號為CVE-2017-9805的安全漏洞影響了2008年以來的所有Struts版本，各種採用該框架知名REST外掛程式的網路應用程式都受到波及。

Mo表示，有非常多的組織使用Struts框架，且這個漏洞帶來具大的風險，因為該框架通常被用來設計公開的網路應用程式，例如航空公司的訂票系統，或者是金融機構的網路金融應用等，此外，要開採該漏洞對駭客來說極為簡單，唯一需要的工具就是瀏覽器。

根據RedMonk分析師Fintan Ryan的估計，財星（Fortune）一百大企業中，至少有65%正在使用以Struts框架建立的網路應用程式。

Igtm團隊已打造了一支針對該漏洞的有效攻擊程式，只是目前並不打算公開，即使迄今尚未發現其他已知的攻擊程式，不過Igtm相信它很快就會現身。

Apache軟體基金會已藉由Struts 2.5.13修補了此一漏洞，並說相關漏洞可能帶來阻斷服務或遠端程式攻擊。不論是該基金會或資安業者都呼籲Struts用戶應該立即更新。