Libstruts1.2-java
Уязвимости
85
Эксплуатируемые
8
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
11
Высокий
32
Средний
38
Низкий
4
Также сопоставлено как (исходные строки): libstruts1.2-java
Топ уязвимостей
CVE-2023-50164Злоумышленник может манипулировать параметрами загрузки файлов, чтобы включить обход путей, и в некоторых случаях это может привести к загрузке вредоносного файла, который может быть использован для выполнения удаленного кода.
Пользователям рекомендуется обновиться до версий Struts 2.5.33 или Struts 6.3.0.2 или новее, чтобы устранить эту проблему.
CVE-2018-11776Версии Apache Struts 2.3 - 2.3.34 и 2.5 - 2.5.16 подвержены возможному удаленному выполнению кода, когда alwaysSelectFullNamespace имеет значение true (либо пользователем, либо плагином, таким как Convention Plugin), и затем: результаты используются без пространства имен, и в то же время его верхний пакет не имеет пространства имен или подстановочного знака, и аналогично результатам, та же возможность при использовании тега URL, у которого нет значения и установленного действия, и в то же время его верхний пакет не имеет пространства имен или подстановочного знака.
CVE-2017-5638Парсер Jakarta Multipart в Apache Struts 2 2.3.x до 2.3.32 и 2.5.x до 2.5.10.1 имеет неверную обработку исключений и генерацию сообщений об ошибках во время попыток загрузки файла, что позволяет удаленным злоумышленникам выполнять произвольные команды через специально подготовленный заголовок HTTP Content-Type, Content-Disposition или Content-Length, как было эксплуатировано в дикой природе в марте 2017 года с заголовком Content-Type, содержащим строку #cmd=.
CVE-2016-6795В плагине Convention в Apache Struts 2.3.x до 2.3.31 и 2.5.x до 2.5.5 можно подготовить специальный URL-адрес, который будет использоваться для обхода пути и выполнения произвольного кода на стороне сервера.
CVE-2016-4438REST-плагин в Apache Struts 2 версий 2.3.19 - 2.3.28.1 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданное выражение.
CVE-2016-4436Apache Struts 2 до версий 2.3.29 и 2.5.x до 2.5.1 позволяет злоумышленникам оказывать неопределенное воздействие через векторы, связанные с неправильной очисткой имени действия.
CVE-2016-3087Apache Struts 2.3.19 до 2.3.20.2, 2.3.21 до 2.3.24.1 и 2.3.25 до 2.3.28, когда включен Dynamic Method Invocation, позволяют удаленным злоумышленникам выполнять произвольный код через векторы, связанные с оператором ! (восклицательный знак) в REST Plugin.
CVE-2016-3082XSLTResult в Apache Struts 2.x до 2.3.20.2, 2.3.24.x до 2.3.24.2 и 2.3.28.x до 2.3.28.1 позволяет удаленным злоумышленникам выполнять произвольный код через параметр location таблицы стилей.
CVE-2013-2251Apache Struts с версии 2.0.0 по 2.3.15 позволяет удаленным злоумышленникам выполнять произвольные OGNL-выражения через параметр с подготовленным (1) action:, (2) redirect: или (3) redirectAction: префиксом.
CVE-2012-0391Компонент ExceptionDelegator в Apache Struts до 2.2.3.1 интерпретирует значения параметров как выражения OGNL во время определённой обработки исключений для несовпадающих типов данных свойств, что позволяет удалённым злоумышленникам выполнять произвольный Java код через созданный параметр.
CVE-2011-3923Apache Struts до версии 2.3.1.2 позволяет удаленным злоумышленникам обходить средства защиты в классе ParameterInterceptor и выполнять произвольные команды.
CVE-2016-4461Apache Struts 2.x до версии 2.3.29 позволяет удаленным злоумышленникам выполнять произвольный код через последовательность "%{}" в атрибуте тега, также известную как принудительная двойная оценка OGNL. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2016-0785.
CVE-2016-4430Apache Struts 2 версий 2.3.20 - 2.3.28.1 неправильно обрабатывает проверку токенов, что позволяет удаленным злоумышленникам проводить атаки с подделкой межсайтовых запросов (CSRF) через неуказанные векторы.
CVE-2016-3090Метод TextParseUtil.translateVariables в Apache Struts 2.x до 2.3.20 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданное выражение OGNL с использованием ANTLR tooling.
CVE-2016-0785Apache Struts 2.x до версии 2.3.28 позволяет удаленным злоумышленникам выполнять произвольный код через последовательность "%{}" в атрибуте тега, также известную как принудительное двойное вычисление OGNL.
CVE-2012-1592Проблема локального выполнения кода существует в Apache Struts2 при обработке неправильно сформированных файлов XSLT, что может позволить злоумышленнику загружать и выполнять произвольные файлы.
CVE-2025-66675Уязвимость отказа в обслуживании в Apache Struts, утечка файлов в обработке запроса по нескольким спискам вызывает истощение диска.
Эта проблема затрагивает Apache Struts: от 2,0 до 6.7.4, от 7.0.0 до 7.0.3.
Пользователям рекомендуется обновиться до версий 6.8.0 или 7.1.1, что устраняет проблему.
Это связано с https://cve.org/CVERecord?id=CVE-2025-64775 - этот CVE обращается к отсутствующей затронутой версии 6.7.4
CVE-2016-1182ActionServlet.java в Apache Struts 1 1.x до 1.3.10 неправильно ограничивает конфигурацию Validator, что позволяет удаленным злоумышленникам проводить атаки с использованием межсайтового скриптинга (XSS) или вызывать отказ в обслуживании через специально созданный ввод, что связано с проблемой CVE-2015-0899.
CVE-2025-68493Отсутствует уязвимость XML в Apache Struts, Apache Struts.
Эта проблема затрагивает Apache Struts: от 2.0.0 до 2.2.1; Apache Struts: от 2.2.1 до 6.1.0.
Пользователям рекомендуется обновиться до версии 6.1.1, что устраняет проблему.
CVE-2021-31805Исправление, выпущенное для CVE-2020-17530, было неполным. Таким образом, в Apache Struts с версии 2.0.0 по 2.5.29 некоторые атрибуты тега по-прежнему могут выполнять двойную оценку, если разработчик применил принудительную оценку OGNL с помощью синтаксиса %{...}. Использование принудительной оценки OGNL для ненадежного пользовательского ввода может привести к удаленному выполнению кода и ухудшению безопасности.
CVE-2020-17530Принудительное вычисление OGNL, при вычислении на необработанном вводе пользователя в атрибутах тегов, может привести к удаленному выполнению кода. Затронутое программное обеспечение: Apache Struts 2.0.0 - Struts 2.5.25.
CVE-2019-0230Apache Struts 2.0.0 - 2.5.20 принудительное двойное вычисление OGNL, когда оно вычисляется для необработанных пользовательских данных в атрибутах тегов, может привести к удаленному выполнению кода.
CVE-2017-9805Плагин REST в Apache Struts 2.1.1 до 2.3.x до 2.3.34 и 2.5.x до 2.5.13 использует XStreamHandler с экземпляром XStream для десериализации без какого-либо фильтрации типов, что может привести к удаленному выполнению кода при десериализации XML нагрузок.
CVE-2017-9791Плагин Struts 1 в Apache Struts 2.1.x и 2.3.x может позволить удалённое выполнение кода через значение поля, переданное в необработанном сообщении в ActionMessage.
CVE-2017-12611В Apache Struts 2.0.0 - 2.3.33 и 2.5 - 2.5.10.1 использование непреднамеренного выражения в теге Freemarker вместо строковых литералов может привести к атаке RCE.