CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2015-5169
https://notcve.org/view.php?id=CVE-2015-5169
Cross-site scripting (XSS) vulnerability in Apache Struts before 2.3.20. Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Apache Struts en versiones anteriores a 2.3.20. • http://jvn.jp/en/jp/JVN95989300/index.html http://jvndb.jvn.jp/en/contents/2015/JVNDB-2015-000125.html http://www.securityfocus.com/bid/76625 https://bugzilla.redhat.com/show_bug.cgi?id=1260087 https://security.netapp.com/advisory/ntap-20180629-0003 https://struts.apache.org/docs/s2-025.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 2%CPEs: 18EXPL: 0CVE-2016-6795
https://notcve.org/view.php?id=CVE-2016-6795
In the Convention plugin in Apache Struts 2.3.x before 2.3.31, and 2.5.x before 2.5.5, it is possible to prepare a special URL which will be used for path traversal and execution of arbitrary code on server side. En el plugin Convention en Apache Struts versiones 2.3.x anteriores a 2.3.31, y versiones 2.5.x anteriores a 2.5.5, es posible preparar una URL especial que será usada para el salto de ruta (path) y una ejecución de código arbitrario en el lado del servidor. • http://www.securityfocus.com/bid/93773 https://security.netapp.com/advisory/ntap-20180629-0003 https://struts.apache.org/docs/s2-042.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 2%CPEs: 55EXPL: 0CVE-2017-9804
https://notcve.org/view.php?id=CVE-2017-9804
In Apache Struts 2.3.7 through 2.3.33 and 2.5 through 2.5.12, if an application allows entering a URL in a form field and built-in URLValidator is used, it is possible to prepare a special URL which will be used to overload server process when performing validation of the URL. NOTE: this vulnerability exists because of an incomplete fix for S2-047 / CVE-2017-7672. En Apache Struts desde la versión 2.3.7 hasta la 2.3.33 y desde la 2.5 hasta la 2.5.12, si una aplicación permite la introducción de una URL en un campo de un formulario y se emplea URLValidator (integrado), es posible preparar una URL especial que será usada para sobrecargar el proceso del servidor cuando se lleva a cabo la validación de la URL. NOTA: Esta vulnerabilidad existe debido a una solución incompleta para S2-047 / CVE-2017-7672. • http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-003.txt http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-9805-3889403.html http://www.securityfocus.com/bid/100612 http://www.securitytracker.com/id/1039261 https://security.netapp.com/advisory/ntap-20180629-0001 https://struts.apache.org/docs/s2-050.html https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170907-struts2 • CWE-20: Improper Input Validation •
CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0CVE-2016-8738
https://notcve.org/view.php?id=CVE-2016-8738
In Apache Struts 2.5 through 2.5.5, if an application allows entering a URL in a form field and the built-in URLValidator is used, it is possible to prepare a special URL which will be used to overload server process when performing validation of the URL. En Apache Struts desde la versión 2.5 hasta la 2.5.5, si una aplicación permite la introducción de una URL en un campo de un formulario y se emplea URLValidator (integrado), es posible preparar una URL especial que será usada para sobrecargar el proceso del servidor cuando se lleva a cabo la validación de la URL. • http://www.securityfocus.com/bid/94657 https://security.netapp.com/advisory/ntap-20180629-0003 https://struts.apache.org/docs/s2-044.html • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 97%CPEs: 90EXPL: 3CVE-2017-12611 – Apache Struts 2.0.1 < 2.3.33 / 2.5 < 2.5.10 - Arbitrary Code Execution
https://notcve.org/view.php?id=CVE-2017-12611
In Apache Struts 2.0.0 through 2.3.33 and 2.5 through 2.5.10.1, using an unintentional expression in a Freemarker tag instead of string literals can lead to a RCE attack. En Apache Struts versiones 2.0.0 hasta 2.3.33 y versiones 2.5 hasta 2.5.10.1, el uso de una expresión no intencional en una etiqueta Freemarker en lugar de literales de cadena podría conllevar a un ataque de tipo RCE. • https://www.exploit-db.com/exploits/44556 https://github.com/brianwrf/S2-053-CVE-2017-12611 http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-003.txt http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-9805-3889403.html http://www.securityfocus.com/bid/100829 https://kb.netapp.com/support/s/article/ka51A000000CgttQAC/NTAP-20170911-0001 https://struts.apache.org/docs/s2-053.html • CWE-20: Improper Input Validation •