Apache Struts 2.0系を採用している場合、どうやら最新版のApache Struts 2.0.11.2へのアップグレードを実施した方がよさそうだ。マイナーバージョンしかアップデートされていないが、Apache Struts 2.0.11.2ではXWork 2.0.5に存在したセキュリティ脆弱性が修正されている。同脆弱性を利用されると遠隔操作でサーバサイドのコンテキストオブジェクトを変更される可能性がある。すべてのApache Struts 2.0系ユーザに2.0.11.2へのアップグレードが強く推奨されている。

同脆弱性はGoogle Security Team, Meder Kydyraliev氏によって指摘されたもの。XWorkのParametersInterceptor実装に問題があり、セキュリティチェックの回避が可能になっていることが指摘されている。どの程度の割合でこの脆弱性に該当する記述が利用されているのかは不明瞭だが、セキュリティアップデートを実施した方がよさそうだ。Apache Struts 2.0系を採用しているデベロッパや運用者は2.0.11.2以降へのアップグレードを実施されたい。