CVSS: 7.5EPSS: 10%CPEs: 55EXPL: 0CVE-2017-9793
https://notcve.org/view.php?id=CVE-2017-9793
20 Sep 2017 — The REST Plugin in Apache Struts 2.1.x, 2.3.7 through 2.3.33 and 2.5 through 2.5.12 is using an outdated XStream library which is vulnerable and allow perform a DoS attack using malicious request with specially crafted XML payload. El Plugin REST en Apache Struts versiones 2.1.x, versiones 2.3.7 hasta 2.3.33 y versiones 2.5 hasta 2.5.12, está usando una biblioteca XStream obsoleta que es vulnerable y permite realizar un ataque de DoS usando una petición maliciosa con una carga útil XML especialmente diseñad... • http://www.brocade.com/content/dam/common/documents/content-types/security-bulletin/brocade-security-advisory-2017-429.htm • CWE-20: Improper Input Validation •
CVSS: 8.1EPSS: 94%CPEs: 58EXPL: 19CVE-2017-9805 – Apache Struts Deserialization of Untrusted Data Vulnerability
https://notcve.org/view.php?id=CVE-2017-9805
07 Sep 2017 — The REST Plugin in Apache Struts 2.1.1 through 2.3.x before 2.3.34 and 2.5.x before 2.5.13 uses an XStreamHandler with an instance of XStream for deserialization without any type filtering, which can lead to Remote Code Execution when deserializing XML payloads. El Plugin REST en Apache Struts versiones 2.1.1 hasta 2.3.x anteriores a 2.3.34 y versiones 2.5.x anteriores a 2.5.13, usa una XStreamHandler con una instancia de XStream para deserialización sin ningún filtrado de tipos, lo que puede conllevar a un... • https://packetstorm.news/files/id/144034 • CWE-502: Deserialization of Untrusted Data •
CVSS: 7.5EPSS: 4%CPEs: 66EXPL: 0CVE-2015-5209
https://notcve.org/view.php?id=CVE-2015-5209
29 Aug 2017 — Apache Struts 2.x before 2.3.24.1 allows remote attackers to manipulate Struts internals, alter user sessions, or affect container settings via vectors involving a top object. Apache Struts en versiones 2.x anteriores a la 2.3.24.1 permite que los atacantes remotos manipulen estados internos de Struts o alteren la configuración del contenedor mediante vectores que involucren un objeto de la cima. • http://www.securityfocus.com/bid/82550 • CWE-20: Improper Input Validation •
CVSS: 5.9EPSS: 1%CPEs: 7EXPL: 0CVE-2017-7672
https://notcve.org/view.php?id=CVE-2017-7672
13 Jul 2017 — If an application allows enter an URL in a form field and built-in URLValidator is used, it is possible to prepare a special URL which will be used to overload server process when performing validation of the URL. Solution is to upgrade to Apache Struts version 2.5.12. Si una aplicación permite la introducción de una URL en un campo de un formulario y se emplea URLValidator (integrado), es posible preparar una URL especial que será utilizada para sobrecargar el proceso del servidor cuando se lleva a cabo la... • http://struts.apache.org/docs/s2-047.html • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 8%CPEs: 53EXPL: 0CVE-2017-9787
https://notcve.org/view.php?id=CVE-2017-9787
13 Jul 2017 — When using a Spring AOP functionality to secure Struts actions it is possible to perform a DoS attack. Solution is to upgrade to Apache Struts version 2.5.12 or 2.3.33. Cuando se utiliza una funcionalidad de Programación Orientada a Aspectos (POA) Spring para hacer las acciones Struts seguras, es posible realizar un ataque de DoS. La solución es actualizar a la versión 2.5.12 o 2.3.33 de Apache Struts. • http://struts.apache.org/docs/s2-049.html •
CVSS: 9.8EPSS: 94%CPEs: 33EXPL: 7CVE-2017-9791 – Apache Struts 1 Improper Input Validation Vulnerability
https://notcve.org/view.php?id=CVE-2017-9791
10 Jul 2017 — The Struts 1 plugin in Apache Struts 2.1.x and 2.3.x might allow remote code execution via a malicious field value passed in a raw message to the ActionMessage. El plugin Struts 1 en Apache Struts versiones 2.1.x y 2.3.x, podría permitir la ejecución de código remota por medio de un valor de campo malicioso pasado en un mensaje sin procesar en la ActionMessage. The Struts 1 plugin in Apache Struts might allow remote code execution via a malicious field value passed in a raw message to the ActionMessage. • https://packetstorm.news/files/id/143375 • CWE-20: Improper Input Validation •
CVSS: 10.0EPSS: 94%CPEs: 53EXPL: 76CVE-2017-5638 – Apache Struts Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2017-5638
10 Mar 2017 — The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string. El analizador sintáctico Jakarta Multipart en Apache Struts 2 en versiones 2.3.x anteriores a ... • https://packetstorm.news/files/id/141630 • CWE-20: Improper Input Validation CWE-755: Improper Handling of Exceptional Conditions •
CVSS: 9.8EPSS: 8%CPEs: 55EXPL: 0CVE-2016-4436
https://notcve.org/view.php?id=CVE-2016-4436
03 Oct 2016 — Apache Struts 2 before 2.3.29 and 2.5.x before 2.5.1 allow attackers to have unspecified impact via vectors related to improper action name clean up. Apache Struts 2 en versiones anteriores a 2.3.29 y 2.5.x en versiones anteriores a 2.5.1 permiten a atacantes tener impacto no especificado a través de vectores relacionados con la limpieza de un nombre de acción inapropiado. • http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 •
CVSS: 8.8EPSS: 2%CPEs: 8EXPL: 0CVE-2016-4430
https://notcve.org/view.php?id=CVE-2016-4430
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 mishandles token validation, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks via unspecified vectors. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 no maneja adecuadamente la validación del token, lo que permite a atacantes remotos llevar a cabo ataques CSRF a través de vectores no especificados. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 22%CPEs: 7EXPL: 0CVE-2016-4431
https://notcve.org/view.php?id=CVE-2016-4431
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks by leveraging a default method. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección aprovechando un método por defecto. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-20: Improper Input Validation •