●概述：
用以開發Java網站應用程式的Apache Struts，為免費開放原始碼架構，囿於早期開發人員欠缺「撰寫安全程式」觀念，近年馬不停蹄地修補歷史漏洞，最新查測Struts發現REST Plugin及Jackson 兩者之JSON library俱存弱點，駭客得以變造惡意資料，攻擊JSON-lib處理器與資料綁定元件Deserialization程序，分別造成Dos及RCE，Apache提供更新版本軟體。
●編註：
(1)JSON Library瑕疵
Struts嵌入式REST套件內有JSON函式庫，若仍使用過期JSON Library，恐遭駭客造成denial of service，其手法係建構一惡意請求，內藏刻意建構之JSON payload，令JSON-lib handler處理過程出錯而導致服務中斷。
(2)Jackson Databind反序列化漏洞
近期Jackson JSON library被報漏洞，肇因於com.fasterxml.jackson 2.9.2之前設計不良，Java平台解析或產生JSON的工作，是由Jackson框架處理，Jackson資料綁定元件在還原物件資料結構的反序列化過程中出錯，而產生不確定影響，可能攻擊方式為遠端用戶送出惡意變造資料，交給ObjectMapper的readValue()函式，導致代碼執行。