CVSS: 7.5EPSS: 9%CPEs: 7EXPL: 0CVE-2016-4431
https://notcve.org/view.php?id=CVE-2016-4431
04 Jul 2016 — Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks by leveraging a default method. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección aprovechando un método por defecto. • http://jvn.jp/en/jp/JVN45093481/index.html • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 6%CPEs: 56EXPL: 0CVE-2016-3093
https://notcve.org/view.php?id=CVE-2016-3093
07 Jun 2016 — Apache Struts 2.0.0 through 2.3.24.1 does not properly cache method references when used with OGNL before 3.0.12, which allows remote attackers to cause a denial of service (block access to a web site) via unspecified vectors. Apache Struts 2.0.0 hasta la versión 2.3.24.1 no cachea correctamente referencias al método cuando se utiliza con OGNL en versiones anteriores a 3.0.12, lo que permite a atacantes remotos provocar una denegación de servicio (bloqueo de acceso a sitio web) a través de vectores no espec... • http://struts.apache.org/docs/s2-034.html • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 68%CPEs: 5EXPL: 3CVE-2016-3087 – Apache Struts - REST Plugin With Dynamic Method Invocation Remote Code Execution
https://notcve.org/view.php?id=CVE-2016-3087
07 Jun 2016 — Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via vectors related to an ! (exclamation mark) operator to the REST Plugin. Apache Struts versiones 2.3.19 hasta 2.3.20.2, versiones 2.3.21 hasta 2.3.24.1 y versiones 2.3.25 hasta 2.3.28, cuando Dynamic Method Invocation está habilitado, permite a atacantes remotos ejecutar código arbitrario por medio de vectores relacionados con un operador ... • https://packetstorm.news/files/id/137375 • CWE-20: Improper Input Validation •
CVSS: 9.3EPSS: 97%CPEs: 57EXPL: 3CVE-2016-3081 – Apache Struts - Dynamic Method Invocation Remote Code Execution
https://notcve.org/view.php?id=CVE-2016-3081
26 Apr 2016 — Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via method: prefix, related to chained expressions. Apache Struts versiones 2.3.19 hasta 2.3.20.2, versiones 2.3.21 hasta 2.3.24.1 y versiones 2.3.25 hasta 2.3.28, cuando Dynamic Method Invocation está habilitado, permite a atacantes remotos ejecutar código arbitrario por medio del prefijo method:, relacionado con expresiones encadenadas. • https://packetstorm.news/files/id/136856 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 10.0EPSS: 71%CPEs: 56EXPL: 0CVE-2016-3082
https://notcve.org/view.php?id=CVE-2016-3082
26 Apr 2016 — XSLTResult in Apache Struts 2.x before 2.3.20.2, 2.3.24.x before 2.3.24.2, and 2.3.28.x before 2.3.28.1 allows remote attackers to execute arbitrary code via the stylesheet location parameter. XSLTResult en Apache Struts 2.x en versiones anteriores a 2.3.20.2, 2.3.24.x en versiones anteriores a 2.3.24.2 y 2.3.28.x en versiones anteriores a 2.3.28.1 permite a atacantes remotos ejecutar código arbitrario a través del parámetro de hoja de cálculo location. • http://struts.apache.org/docs/s2-031.html • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 11%CPEs: 1EXPL: 0CVE-2016-4003
https://notcve.org/view.php?id=CVE-2016-4003
12 Apr 2016 — Cross-site scripting (XSS) vulnerability in the URLDecoder function in JRE before 1.8, as used in Apache Struts 2.x before 2.3.28, when using a single byte page encoding, allows remote attackers to inject arbitrary web script or HTML via multi-byte characters in a url-encoded parameter. Vulnerabilidad de XSS en la función URLDecoder en JRE en versiones anteriores a 1.8, tal y como se utiliza en Apache Struts 2.x en versiones anteriores a 2.3.28, cuando utiliza una codificación de página de un solo byte, per... • http://struts.apache.org/docs/s2-028.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 9%CPEs: 2EXPL: 0CVE-2016-0785
https://notcve.org/view.php?id=CVE-2016-0785
12 Apr 2016 — Apache Struts 2.x before 2.3.28 allows remote attackers to execute arbitrary code via a "%{}" sequence in a tag attribute, aka forced double OGNL evaluation. Apache Struts 2.x en versiones anteriores a 2.3.28 permite a atacantes remotos ejecutar código arbitrario a través de una secuencia "%{}" en un atributo de etiqueta, también conocido como evaluación OGNL doble forzada. • http://struts.apache.org/docs/s2-029.html • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 19%CPEs: 56EXPL: 0CVE-2016-2162
https://notcve.org/view.php?id=CVE-2016-2162
12 Apr 2016 — Apache Struts 2.x before 2.3.25 does not sanitize text in the Locale object constructed by I18NInterceptor, which might allow remote attackers to conduct cross-site scripting (XSS) attacks via unspecified vectors involving language display. Apache Struts 2.x en versiones anteriores a 2.3.25 no sanitiza el texto en el objeto Locale construído por I18NInterceptor, lo que podría permitir a atacantes remotos llevar a cabo ataques de XSS a través de vectores no especificados que implican la visualización de idio... • http://struts.apache.org/docs/s2-030.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 0CVE-2015-1831
https://notcve.org/view.php?id=CVE-2015-1831
16 Jul 2015 — The default exclude patterns (excludeParams) in Apache Struts 2.3.20 allow remote attackers to "compromise internal state of an application" via unspecified vectors. Los patrones de exclusión por defecto (parámetros de exclusión) en Apache Struts 2.3.20 permiten a atacantes remotos 'comprometer el estado interno de una aplicación' a través de vectores no especificados. • http://www.securityfocus.com/bid/75940 •
CVSS: 6.8EPSS: 0%CPEs: 51EXPL: 0CVE-2014-7809
https://notcve.org/view.php?id=CVE-2014-7809
10 Dec 2014 — Apache Struts 2.0.0 through 2.3.x before 2.3.20 uses predictable <s:token/> values, which allows remote attackers to bypass the CSRF protection mechanism. Apache Struts 2.0.0 hasta 2.3.x anterior a 2.3.20 utiliza valores previsibles, lo que permite a atacantes remotos evadir el mecanismo de protección CSRF. • http://packetstormsecurity.com/files/129421/Apache-Struts-2.3.20-Security-Fixes.html • CWE-352: Cross-Site Request Forgery (CSRF) •