ということなら、修正する方が良いと思います。
ただ、Javaの開発環境がないので、コミッタで、誰か修正(できればリリース)してもらえるとうれしいです。
もしくは、この件の修正で、コミッタになりたい方がいればWelcomeです。

toru_izui さん:

早急に対応が必要なら、commons-validatorのUrlValidatorファイルをコピーして、4文字以下のチェックをしている以下の行を修正し、WEB-INF/classes に配置するのが手っ取り早いと思います。
https://github.com/apache/commons-validator/blob/VALIDATOR_1_2_0/src/share/org/apache/commons/validator/UrlValidator.java#L378

ひがさん:
対応しないならこのチケットはクローズした方がよいかと思います。

結論的にはどういうことになったのでしょうか？
対応が必要になってきたので状況を教えて頂ければ幸いです。

この問題は元々RFCにない余計なチェックをしていたcommons-validatorのバグで、commons-validator-1.4.0で修正されています。
https://issues.apache.org/jira/browse/VALIDATOR-216

具体的にはDomainValidatorというクラスが導入されて、TLDの長さは2文字以上ならOKになってます。
https://github.com/apache/commons-validator/blob/28283808eab7d11b69f3afaca6e294a9a31ddcd1/src/main/java/org/apache/commons/validator/routines/DomainValidator.java#L67

そしてUrlValidatorはこのDomainValidatorを使うように修正されたため、4文字を超えるTLDをエラーにする処理も削除されました。
https://github.com/apache/commons-validator/commit/18afdcb4b17aa0a4ff7c0e73b2c35b559cda1fc4

しかし、SAStrutsはcommons-validatorの1.2.0を利用しており、大きく修正された1.4.0を使うのは難しいと思われます。
となると、OGNLのようにSeasarプロジェクト側でcommons-validator-1.2.0にパッチを当てて提供するのがいいんじゃないかと思います。

じゃ、文字数の上限の制限を単にはずせばよいかというと、そうでもないはずで、そんなに単純な話じゃなさそう。
セキュリティの問題以外は、SAStrutsには手を入れないことにしているので、個別に対応してもらいたいです。