CVSS: 5.3EPSS: 95%CPEs: 12EXPL: 0CVE-2016-4465
https://notcve.org/view.php?id=CVE-2016-4465
The URLValidator class in Apache Struts 2 2.3.20 through 2.3.28.1 and 2.5.x before 2.5.1 allows remote attackers to cause a denial of service via a null value for a URL field. La clase URLValidator en Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 y 2.5.x en versiones anteriores a 2.5.1 permite a atacantes remotos provocar una denegación de servicio a través de un valor nulo para un campo URL. • http://jvn.jp/en/jp/JVN12352818/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000114 http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91278 https://bugzilla.redhat.com/show_bug.cgi?id=1348253 https://struts.apache.org/docs/s2-041.html • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-4431
https://notcve.org/view.php?id=CVE-2016-4431
Apache Struts 2 2.3.20 through 2.3.28.1 allows remote attackers to bypass intended access restrictions and conduct redirection attacks by leveraging a default method. Apache Struts 2 2.3.20 hasta la versión 2.3.28.1 permite a atacantes remotos eludir las restricciones destinadas al acceso y llevar a cabo ataques de redirección aprovechando un método por defecto. • http://jvn.jp/en/jp/JVN45093481/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000113 http://www-01.ibm.com/support/docview.wss?uid=ssg1S1009282 http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91284 https://bugzilla.redhat.com/show_bug.cgi?id=1348252 https://struts.apache.org/docs/s2-040.html • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 6%CPEs: 7EXPL: 2CVE-2016-4438
https://notcve.org/view.php?id=CVE-2016-4438
The REST plugin in Apache Struts 2 2.3.19 through 2.3.28.1 allows remote attackers to execute arbitrary code via a crafted expression. El plugin REST en Apache Struts versiones 2 2.3.19 hasta 2.3.28.1, permite a atacantes remotos ejecutar código arbitrario por medio de una expresión especialmente diseñada. • https://github.com/jason3e7/CVE-2016-4438 https://github.com/tafamace/CVE-2016-4438 http://jvn.jp/en/jp/JVN07710476/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000110 http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html http://www.securityfocus.com/bid/91275 https://bugzilla.redhat.com/show_bug.cgi?id=1348238 https://struts.apache.org/docs/s2-037.html • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 2%CPEs: 56EXPL: 0CVE-2016-3093
https://notcve.org/view.php?id=CVE-2016-3093
Apache Struts 2.0.0 through 2.3.24.1 does not properly cache method references when used with OGNL before 3.0.12, which allows remote attackers to cause a denial of service (block access to a web site) via unspecified vectors. Apache Struts 2.0.0 hasta la versión 2.3.24.1 no cachea correctamente referencias al método cuando se utiliza con OGNL en versiones anteriores a 3.0.12, lo que permite a atacantes remotos provocar una denegación de servicio (bloqueo de acceso a sitio web) a través de vectores no especificados. • http://struts.apache.org/docs/s2-034.html http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.securityfocus.com/bid/90961 http://www.securitytracker.com/id/1036018 https://lists.apache.org/thread.html/940b4c3fef002461b89a050935337056d4a036a65ef68e0bbd4621ef%40%3Cdev.struts.apache.org%3E • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 52%CPEs: 5EXPL: 2CVE-2016-3087 – Apache Struts - REST Plugin With Dynamic Method Invocation Remote Code Execution
https://notcve.org/view.php?id=CVE-2016-3087
Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via vectors related to an ! (exclamation mark) operator to the REST Plugin. Apache Struts versiones 2.3.19 hasta 2.3.20.2, versiones 2.3.21 hasta 2.3.24.1 y versiones 2.3.25 hasta 2.3.28, cuando Dynamic Method Invocation está habilitado, permite a atacantes remotos ejecutar código arbitrario por medio de vectores relacionados con un operador ! (signo de exclamación) en el Plugin REST. • https://www.exploit-db.com/exploits/39919 https://www.exploit-db.com/exploits/43382 http://struts.apache.org/docs/s2-033.html http://www-01.ibm.com/support/docview.wss?uid=swg21987854 http://www.securityfocus.com/bid/90960 http://www.securitytracker.com/id/1036017 • CWE-20: Improper Input Validation •