Aviso 
Aviso a administradores de sistemas sobre vulnerabilidad en Apache Struts
Se ha publicado un exploit de la vulnerabilidad de Struts CVE-2017-9805, que permite a un atacante ejecutar código en forma remota sobre un servidor vulnerable.
Esta vulnerabilidad se encuentra presente en el plugin REST de Apache Struts 2, el cual no realiza una correcta sanitizarización del payload recibido por la aplicación.
Descripción
El plugin REST de Apache Struts utiliza X Stream Handler con una instancia de X Stream para deserialización sin ningún tipo de filtro. Esto puede permitir a un atacante ejecutar código remotamente cuando se deserializan payloads XML.
Sistemas afectados
- Struts 2.1.2 - Struts 2.3.33
- Struts 2.5 - Struts 2.5.12
Tipo de impacto
Ejecución remota de código.
Recomendaciones
- Actualizar Apache Struts a la versión 2.5.13 o 2.3.34.
En caso de que no se pueda actualizar de forma inmediata, en forma alternativa se puede:
- Eliminar el plugin REST de Struts si no está siendo utilizado.
- Realizar un upgrade del plugin.
- Limitar el plugin para páginas normales del servidor y JSON: <constant name="struts.action.extension"value="xhtml,,json" />