CVSS: 7.5EPSS: 4%CPEs: 66EXPL: 0CVE-2015-5209
https://notcve.org/view.php?id=CVE-2015-5209
29 Aug 2017 — Apache Struts 2.x before 2.3.24.1 allows remote attackers to manipulate Struts internals, alter user sessions, or affect container settings via vectors involving a top object. Apache Struts en versiones 2.x anteriores a la 2.3.24.1 permite que los atacantes remotos manipulen estados internos de Struts o alteren la configuración del contenedor mediante vectores que involucren un objeto de la cima. • http://www.securityfocus.com/bid/82550 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 8%CPEs: 53EXPL: 0CVE-2017-9787
https://notcve.org/view.php?id=CVE-2017-9787
13 Jul 2017 — When using a Spring AOP functionality to secure Struts actions it is possible to perform a DoS attack. Solution is to upgrade to Apache Struts version 2.5.12 or 2.3.33. Cuando se utiliza una funcionalidad de Programación Orientada a Aspectos (POA) Spring para hacer las acciones Struts seguras, es posible realizar un ataque de DoS. La solución es actualizar a la versión 2.5.12 o 2.3.33 de Apache Struts. • http://struts.apache.org/docs/s2-049.html •
CVSS: 9.8EPSS: 94%CPEs: 33EXPL: 7CVE-2017-9791 – Apache Struts 1 Improper Input Validation Vulnerability
https://notcve.org/view.php?id=CVE-2017-9791
10 Jul 2017 — The Struts 1 plugin in Apache Struts 2.1.x and 2.3.x might allow remote code execution via a malicious field value passed in a raw message to the ActionMessage. El plugin Struts 1 en Apache Struts versiones 2.1.x y 2.3.x, podría permitir la ejecución de código remota por medio de un valor de campo malicioso pasado en un mensaje sin procesar en la ActionMessage. The Struts 1 plugin in Apache Struts might allow remote code execution via a malicious field value passed in a raw message to the ActionMessage. • https://packetstorm.news/files/id/143375 • CWE-20: Improper Input Validation •
CVSS: 10.0EPSS: 94%CPEs: 53EXPL: 76CVE-2017-5638 – Apache Struts Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2017-5638
10 Mar 2017 — The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string. El analizador sintáctico Jakarta Multipart en Apache Struts 2 en versiones 2.3.x anteriores a ... • https://packetstorm.news/files/id/141630 • CWE-20: Improper Input Validation CWE-755: Improper Handling of Exceptional Conditions •
CVSS: 9.8EPSS: 7%CPEs: 55EXPL: 0CVE-2016-4436
https://notcve.org/view.php?id=CVE-2016-4436
03 Oct 2016 — Apache Struts 2 before 2.3.29 and 2.5.x before 2.5.1 allow attackers to have unspecified impact via vectors related to improper action name clean up. Apache Struts 2 en versiones anteriores a 2.3.29 y 2.5.x en versiones anteriores a 2.5.1 permiten a atacantes tener impacto no especificado a través de vectores relacionados con la limpieza de un nombre de acción inapropiado. • http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 •
CVSS: 7.5EPSS: 22%CPEs: 7EXPL: 0CVE-2016-4431
https://notcve.org/view.php?id=CVE-2016-4431
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks by leveraging a default method. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección aprovechando un método por defecto. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 10%CPEs: 7EXPL: 0CVE-2016-4433
https://notcve.org/view.php?id=CVE-2016-4433
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks via a crafted request. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección a través de una petición manipulada. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 7%CPEs: 12EXPL: 0CVE-2016-4465
https://notcve.org/view.php?id=CVE-2016-4465
04 Jul 2016 — The URLValidator class in Apache Struts 2 2.3.20 through 2.3.28.1 and 2.5.x before 2.5.1 allows remote attackers to cause a denial of service via a null value for a URL field. La clase URLValidator en Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 y 2.5.x en versiones anteriores a 2.5.1 permite a atacantes remotos provocar una denegación de servicio a través de un valor nulo para un campo URL. • http://jvn.jp/en/jp/JVN12352818/index.html • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 2%CPEs: 8EXPL: 0CVE-2016-4430
https://notcve.org/view.php?id=CVE-2016-4430
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 mishandles token validation, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks via unspecified vectors. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 no maneja adecuadamente la validación del token, lo que permite a atacantes remotos llevar a cabo ataques CSRF a través de vectores no especificados. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 68%CPEs: 7EXPL: 2CVE-2016-4438
https://notcve.org/view.php?id=CVE-2016-4438
04 Jul 2016 — The REST plugin in Apache Struts 2 2.3.19 through 2.3.28.1 allows remote attackers to execute arbitrary code via a crafted expression. El plugin REST en Apache Struts versiones 2 2.3.19 hasta 2.3.28.1, permite a atacantes remotos ejecutar código arbitrario por medio de una expresión especialmente diseñada. • https://github.com/jason3e7/CVE-2016-4438 • CWE-20: Improper Input Validation •