La actualización 2.3.14.2 del framework de Apache, Java Struts, corrige múltiples vulnerabilidades de alto riesgo que permitían a los atacantes realizar inyecciones de código en un servidor, por ejemplo, vía peticiones HTTP elaboradas.

Los agujeros de seguridad han sido descritos como CVE-2.13-2115 y CVE-2013-1966. De acuerdo a los desarrolladores de Struts, el nivel más alto catalogado es "altamente crítica".

Los detalles de la vulnerabilidad y la prueba de concepto (PoC) se encuentran tanto en vulnerabilidades de alto riesgo como el el blog Coverity. Originalmente, se esperaba que al actualizar a Struts 2.3.14.1 se cerraban los agujeros de seguridad, pero parece que la actualización falló al bloquear todos los vectores de ataque potenciales. Todas las versiones anteriores a 2.3.14.2 son vulnerables.  Aquellos que usen el framework en sus servidores deben asegurarse de que el sistema cuente con las actualizaciones al día.

Esto es otro problema relacionado al OGNL (Object Graph Navigation Language) del framework Struts. Se conocían otros agujeros de seguridad con anterioridad, los cuales fueron reparados en fechas pasadas, en enero del 2012, agosto del 2010 y en noviembre de 2008.