CVSS: 9.8EPSS: 90%CPEs: 2EXPL: 2CVE-2011-3923 – Apache Struts - 'ParametersInterceptor' Remote Code Execution
https://notcve.org/view.php?id=CVE-2011-3923
01 Nov 2019 — Apache Struts before 2.3.1.2 allows remote attackers to bypass security protections in the ParameterInterceptor class and execute arbitrary commands. Apache Struts versiones anteriores a 2.3.1.2, permite a atacantes remotos omitir las protecciones de seguridad en la clase ParameterInterceptor y ejecutar comandos arbitrarios. • https://www.exploit-db.com/exploits/24874 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 9.0EPSS: 1%CPEs: 2EXPL: 0CVE-2016-4461
https://notcve.org/view.php?id=CVE-2016-4461
16 Oct 2017 — Apache Struts 2.x before 2.3.29 allows remote attackers to execute arbitrary code via a "%{}" sequence in a tag attribute, aka forced double OGNL evaluation. NOTE: this vulnerability exists because of an incomplete fix for CVE-2016-0785. Apache Struts en versiones 2.x anteriores a la 2.3.29 permite que atacantes remotos ejecuten código arbitrario mediante una secuencia "%{}" en un atributo de etiqueta. Esto también se conoce como evaluación OGNL doble forzada. NOTA: Esta vulnerabilidad existe debido a una s... • http://www.securityfocus.com/bid/91277 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 1%CPEs: 1EXPL: 0CVE-2015-5169
https://notcve.org/view.php?id=CVE-2015-5169
25 Sep 2017 — Cross-site scripting (XSS) vulnerability in Apache Struts before 2.3.20. Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Apache Struts en versiones anteriores a 2.3.20. • http://jvn.jp/en/jp/JVN95989300/index.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 4%CPEs: 66EXPL: 0CVE-2015-5209
https://notcve.org/view.php?id=CVE-2015-5209
29 Aug 2017 — Apache Struts 2.x before 2.3.24.1 allows remote attackers to manipulate Struts internals, alter user sessions, or affect container settings via vectors involving a top object. Apache Struts en versiones 2.x anteriores a la 2.3.24.1 permite que los atacantes remotos manipulen estados internos de Struts o alteren la configuración del contenedor mediante vectores que involucren un objeto de la cima. • http://www.securityfocus.com/bid/82550 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 8%CPEs: 55EXPL: 0CVE-2016-4436
https://notcve.org/view.php?id=CVE-2016-4436
03 Oct 2016 — Apache Struts 2 before 2.3.29 and 2.5.x before 2.5.1 allow attackers to have unspecified impact via vectors related to improper action name clean up. Apache Struts 2 en versiones anteriores a 2.3.29 y 2.5.x en versiones anteriores a 2.5.1 permiten a atacantes tener impacto no especificado a través de vectores relacionados con la limpieza de un nombre de acción inapropiado. • http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 •
CVSS: 5.3EPSS: 2%CPEs: 56EXPL: 0CVE-2016-3093
https://notcve.org/view.php?id=CVE-2016-3093
07 Jun 2016 — Apache Struts 2.0.0 through 2.3.24.1 does not properly cache method references when used with OGNL before 3.0.12, which allows remote attackers to cause a denial of service (block access to a web site) via unspecified vectors. Apache Struts 2.0.0 hasta la versión 2.3.24.1 no cachea correctamente referencias al método cuando se utiliza con OGNL en versiones anteriores a 3.0.12, lo que permite a atacantes remotos provocar una denegación de servicio (bloqueo de acceso a sitio web) a través de vectores no espec... • http://struts.apache.org/docs/s2-034.html • CWE-20: Improper Input Validation •
CVSS: 9.3EPSS: 94%CPEs: 57EXPL: 3CVE-2016-3081 – Apache Struts - Dynamic Method Invocation Remote Code Execution
https://notcve.org/view.php?id=CVE-2016-3081
26 Apr 2016 — Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via method: prefix, related to chained expressions. Apache Struts versiones 2.3.19 hasta 2.3.20.2, versiones 2.3.21 hasta 2.3.24.1 y versiones 2.3.25 hasta 2.3.28, cuando Dynamic Method Invocation está habilitado, permite a atacantes remotos ejecutar código arbitrario por medio del prefijo method:, relacionado con expresiones encadenadas. • https://packetstorm.news/files/id/136856 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 10.0EPSS: 41%CPEs: 56EXPL: 0CVE-2016-3082
https://notcve.org/view.php?id=CVE-2016-3082
26 Apr 2016 — XSLTResult in Apache Struts 2.x before 2.3.20.2, 2.3.24.x before 2.3.24.2, and 2.3.28.x before 2.3.28.1 allows remote attackers to execute arbitrary code via the stylesheet location parameter. XSLTResult en Apache Struts 2.x en versiones anteriores a 2.3.20.2, 2.3.24.x en versiones anteriores a 2.3.24.2 y 2.3.28.x en versiones anteriores a 2.3.28.1 permite a atacantes remotos ejecutar código arbitrario a través del parámetro de hoja de cálculo location. • http://struts.apache.org/docs/s2-031.html • CWE-20: Improper Input Validation •
CVSS: 9.0EPSS: 22%CPEs: 2EXPL: 0CVE-2016-0785
https://notcve.org/view.php?id=CVE-2016-0785
12 Apr 2016 — Apache Struts 2.x before 2.3.28 allows remote attackers to execute arbitrary code via a "%{}" sequence in a tag attribute, aka forced double OGNL evaluation. Apache Struts 2.x en versiones anteriores a 2.3.28 permite a atacantes remotos ejecutar código arbitrario a través de una secuencia "%{}" en un atributo de etiqueta, también conocido como evaluación OGNL doble forzada. • http://struts.apache.org/docs/s2-029.html • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 5%CPEs: 56EXPL: 0CVE-2016-2162
https://notcve.org/view.php?id=CVE-2016-2162
12 Apr 2016 — Apache Struts 2.x before 2.3.25 does not sanitize text in the Locale object constructed by I18NInterceptor, which might allow remote attackers to conduct cross-site scripting (XSS) attacks via unspecified vectors involving language display. Apache Struts 2.x en versiones anteriores a 2.3.25 no sanitiza el texto en el objeto Locale construído por I18NInterceptor, lo que podría permitir a atacantes remotos llevar a cabo ataques de XSS a través de vectores no especificados que implican la visualización de idio... • http://struts.apache.org/docs/s2-030.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •