Apache Struts 2.3.1.2 и более ранние версии, 2.3.19-2.3.23, предоставляет интерфейсы, которые неправильно ограничивают доступ к коллекциям, таким как сеансовые и запросные коллекции, что может позволить удаленным злоумышленникам изменять значения данных во время выполнения через специально созданный параметр для приложения, которое реализует затронутый интерфейс, как продемонстрировано интерфейсами SessionAware, RequestAware, ApplicationAware, ServletRequestAware, ServletResponseAware и ParameterAware. ПРИМЕЧАНИЕ: поставщик оспаривает значимость этого отчета из-за “легкого обходного пути в существующих приложениях путем настройки перехватчика”.