Page 6 of 32 results (0.007 seconds)

CVSS: 10.0EPSS: 95%CPEs: 56EXPL: 0

XSLTResult in Apache Struts 2.x before 2.3.20.2, 2.3.24.x before 2.3.24.2, and 2.3.28.x before 2.3.28.1 allows remote attackers to execute arbitrary code via the stylesheet location parameter. XSLTResult en Apache Struts 2.x en versiones anteriores a 2.3.20.2, 2.3.24.x en versiones anteriores a 2.3.24.2 y 2.3.28.x en versiones anteriores a 2.3.28.1 permite a atacantes remotos ejecutar código arbitrario a través del parámetro de hoja de cálculo location. • http://struts.apache.org/docs/s2-031.html http://www.securityfocus.com/bid/88826 http://www.securitytracker.com/id/1035664 • CWE-20: Improper Input Validation •

CVSS: 6.1EPSS: 23%CPEs: 56EXPL: 0

Apache Struts 2.x before 2.3.25 does not sanitize text in the Locale object constructed by I18NInterceptor, which might allow remote attackers to conduct cross-site scripting (XSS) attacks via unspecified vectors involving language display. Apache Struts 2.x en versiones anteriores a 2.3.25 no sanitiza el texto en el objeto Locale construído por I18NInterceptor, lo que podría permitir a atacantes remotos llevar a cabo ataques de XSS a través de vectores no especificados que implican la visualización de idioma. • http://struts.apache.org/docs/s2-030.html http://www.securityfocus.com/bid/85070 http://www.securitytracker.com/id/1035272 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.1EPSS: 2%CPEs: 1EXPL: 0

Cross-site scripting (XSS) vulnerability in the URLDecoder function in JRE before 1.8, as used in Apache Struts 2.x before 2.3.28, when using a single byte page encoding, allows remote attackers to inject arbitrary web script or HTML via multi-byte characters in a url-encoded parameter. Vulnerabilidad de XSS en la función URLDecoder en JRE en versiones anteriores a 1.8, tal y como se utiliza en Apache Struts 2.x en versiones anteriores a 2.3.28, cuando utiliza una codificación de página de un solo byte, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de caracteres multi-byte en un parámetro con codificación url. • http://struts.apache.org/docs/s2-028.html http://www.securityfocus.com/bid/86311 http://www.securitytracker.com/id/1035268 https://issues.apache.org/jira/browse/WW-4507 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 9.0EPSS: 1%CPEs: 2EXPL: 0

Apache Struts 2.x before 2.3.28 allows remote attackers to execute arbitrary code via a "%{}" sequence in a tag attribute, aka forced double OGNL evaluation. Apache Struts 2.x en versiones anteriores a 2.3.28 permite a atacantes remotos ejecutar código arbitrario a través de una secuencia "%{}" en un atributo de etiqueta, también conocido como evaluación OGNL doble forzada. • http://struts.apache.org/docs/s2-029.html http://www.securityfocus.com/bid/85066 http://www.securitytracker.com/id/1035271 • CWE-20: Improper Input Validation •

CVSS: 6.8EPSS: 0%CPEs: 51EXPL: 0

Apache Struts 2.0.0 through 2.3.x before 2.3.20 uses predictable <s:token/> values, which allows remote attackers to bypass the CSRF protection mechanism. Apache Struts 2.0.0 hasta 2.3.x anterior a 2.3.20 utiliza valores previsibles, lo que permite a atacantes remotos evadir el mecanismo de protección CSRF. • http://packetstormsecurity.com/files/129421/Apache-Struts-2.3.20-Security-Fixes.html http://struts.apache.org/docs/s2-023.html http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html http://www.securityfocus.com/archive/1/534175/100/0/threaded http://www.securityfocus.com/bid/71548 http://www.securitytracker.com/id/1031309 • CWE-352: Cross-Site Request Forgery (CSRF) •