CVE-2016-4436
https://notcve.org/view.php?id=CVE-2016-4436
Apache Struts 2 before 2.3.29 and 2.5.x before 2.5.1 allow attackers to have unspecified impact via vectors related to improper action name clean up. Apache Struts 2 en versiones anteriores a 2.3.29 y 2.5.x en versiones anteriores a 2.5.1 permiten a atacantes tener impacto no especificado a través de vectores relacionados con la limpieza de un nombre de acción inapropiado. • http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91280 https://struts.apache.org/docs/s2-035.html •
CVE-2016-4438
https://notcve.org/view.php?id=CVE-2016-4438
The REST plugin in Apache Struts 2 2.3.19 through 2.3.28.1 allows remote attackers to execute arbitrary code via a crafted expression. El plugin REST en Apache Struts versiones 2 2.3.19 hasta 2.3.28.1, permite a atacantes remotos ejecutar código arbitrario por medio de una expresión especialmente diseñada. • https://github.com/jason3e7/CVE-2016-4438 https://github.com/tafamace/CVE-2016-4438 http://jvn.jp/en/jp/JVN07710476/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000110 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91275 https://bugzilla.redhat.com/show_bug.cgi?id=1348238 https://struts.apache.org/docs/s2-037.html • CWE-20: Improper Input Validation •
CVE-2016-4430
https://notcve.org/view.php?id=CVE-2016-4430
Apache Struts 2 2.3.20 through 2.3.28.1 mishandles token validation, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks via unspecified vectors. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 no maneja adecuadamente la validación del token, lo que permite a atacantes remotos llevar a cabo ataques CSRF a través de vectores no especificados. • http://jvn.jp/en/jp/JVN45093481/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000111 http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91281 https://bugzilla.redhat.com/show_bug.cgi?id=1348249 https://struts.apache.org/docs/s2-038.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2016-4433
https://notcve.org/view.php?id=CVE-2016-4433
Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks via a crafted request. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección a través de una petición manipulada. • http://jvn.jp/en/jp/JVN45093481/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000112 http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91282 https://bugzilla.redhat.com/show_bug.cgi?id=1348251 https://struts.apache.org/docs/s2-039.html • CWE-20: Improper Input Validation •
CVE-2016-4431
https://notcve.org/view.php?id=CVE-2016-4431
Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks by leveraging a default method. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección aprovechando un método por defecto. • http://jvn.jp/en/jp/JVN45093481/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000113 http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91284 https://bugzilla.redhat.com/show_bug.cgi?id=1348252 https://struts.apache.org/docs/s2-040.html • CWE-20: Improper Input Validation •