CVSS: 9.8EPSS: 4%CPEs: 55EXPL: 0CVE-2016-4436
https://notcve.org/view.php?id=CVE-2016-4436
03 Oct 2016 — Apache Struts 2 before 2.3.29 and 2.5.x before 2.5.1 allow attackers to have unspecified impact via vectors related to improper action name clean up. Apache Struts 2 en versiones anteriores a 2.3.29 y 2.5.x en versiones anteriores a 2.5.1 permiten a atacantes tener impacto no especificado a través de vectores relacionados con la limpieza de un nombre de acción inapropiado. • http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 •
CVSS: 9.8EPSS: 53%CPEs: 7EXPL: 2CVE-2016-4438
https://notcve.org/view.php?id=CVE-2016-4438
04 Jul 2016 — The REST plugin in Apache Struts 2 2.3.19 through 2.3.28.1 allows remote attackers to execute arbitrary code via a crafted expression. El plugin REST en Apache Struts versiones 2 2.3.19 hasta 2.3.28.1, permite a atacantes remotos ejecutar código arbitrario por medio de una expresión especialmente diseñada. • https://github.com/jason3e7/CVE-2016-4438 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 5%CPEs: 7EXPL: 0CVE-2016-4433
https://notcve.org/view.php?id=CVE-2016-4433
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks via a crafted request. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección a través de una petición manipulada. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 81%CPEs: 12EXPL: 0CVE-2016-4465
https://notcve.org/view.php?id=CVE-2016-4465
04 Jul 2016 — The URLValidator class in Apache Struts 2 2.3.20 through 2.3.28.1 and 2.5.x before 2.5.1 allows remote attackers to cause a denial of service via a null value for a URL field. La clase URLValidator en Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 y 2.5.x en versiones anteriores a 2.5.1 permite a atacantes remotos provocar una denegación de servicio a través de un valor nulo para un campo URL. • http://jvn.jp/en/jp/JVN12352818/index.html • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 6%CPEs: 8EXPL: 0CVE-2016-4430
https://notcve.org/view.php?id=CVE-2016-4430
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 mishandles token validation, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks via unspecified vectors. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 no maneja adecuadamente la validación del token, lo que permite a atacantes remotos llevar a cabo ataques CSRF a través de vectores no especificados. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 9%CPEs: 7EXPL: 0CVE-2016-4431
https://notcve.org/view.php?id=CVE-2016-4431
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks by leveraging a default method. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección aprovechando un método por defecto. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 6%CPEs: 56EXPL: 0CVE-2016-3093
https://notcve.org/view.php?id=CVE-2016-3093
07 Jun 2016 — Apache Struts 2.0.0 through 2.3.24.1 does not properly cache method references when used with OGNL before 3.0.12, which allows remote attackers to cause a denial of service (block access to a web site) via unspecified vectors. Apache Struts 2.0.0 hasta la versión 2.3.24.1 no cachea correctamente referencias al método cuando se utiliza con OGNL en versiones anteriores a 3.0.12, lo que permite a atacantes remotos provocar una denegación de servicio (bloqueo de acceso a sitio web) a través de vectores no espec... • http://struts.apache.org/docs/s2-034.html • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 68%CPEs: 5EXPL: 3CVE-2016-3087 – Apache Struts - REST Plugin With Dynamic Method Invocation Remote Code Execution
https://notcve.org/view.php?id=CVE-2016-3087
07 Jun 2016 — Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via vectors related to an ! (exclamation mark) operator to the REST Plugin. Apache Struts versiones 2.3.19 hasta 2.3.20.2, versiones 2.3.21 hasta 2.3.24.1 y versiones 2.3.25 hasta 2.3.28, cuando Dynamic Method Invocation está habilitado, permite a atacantes remotos ejecutar código arbitrario por medio de vectores relacionados con un operador ... • https://packetstorm.news/files/id/137375 • CWE-20: Improper Input Validation •
CVSS: 9.3EPSS: 97%CPEs: 57EXPL: 3CVE-2016-3081 – Apache Struts - Dynamic Method Invocation Remote Code Execution
https://notcve.org/view.php?id=CVE-2016-3081
26 Apr 2016 — Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via method: prefix, related to chained expressions. Apache Struts versiones 2.3.19 hasta 2.3.20.2, versiones 2.3.21 hasta 2.3.24.1 y versiones 2.3.25 hasta 2.3.28, cuando Dynamic Method Invocation está habilitado, permite a atacantes remotos ejecutar código arbitrario por medio del prefijo method:, relacionado con expresiones encadenadas. • https://packetstorm.news/files/id/136856 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 10.0EPSS: 71%CPEs: 56EXPL: 0CVE-2016-3082
https://notcve.org/view.php?id=CVE-2016-3082
26 Apr 2016 — XSLTResult in Apache Struts 2.x before 2.3.20.2, 2.3.24.x before 2.3.24.2, and 2.3.28.x before 2.3.28.1 allows remote attackers to execute arbitrary code via the stylesheet location parameter. XSLTResult en Apache Struts 2.x en versiones anteriores a 2.3.20.2, 2.3.24.x en versiones anteriores a 2.3.24.2 y 2.3.28.x en versiones anteriores a 2.3.28.1 permite a atacantes remotos ejecutar código arbitrario a través del parámetro de hoja de cálculo location. • http://struts.apache.org/docs/s2-031.html • CWE-20: Improper Input Validation •