Apache Struts 漏洞列表

Apache Struts support in OpenSymphony XWork before 1.2.3, and 2.x before 2.0.4, as used in WebWork and Apache Struts, recursively evaluates all input as an Object-Graph Navigation Language (OGNL) expression when altSyntax is enabled, which allows remote attackers to cause a denial of service (infinite loop) or execute arbitrary code via for"m input beginning with a "%{" sequence and ending with a "}" character.

The CookieInterceptor component in Apache Struts before 2.3.1.1 does not use the parameter-name whitelist, which allows remote attackers to execute arbitrary commands via a crafted HTTP Cookie header that triggers Java code execution through a static method.

Apache Struts Showcase App 2.0.0 through 2.3.13, as used in Struts 2 before 2.3.14.3, allows remote attackers to execute arbitrary OGNL code via a crafted parameter name that is not properly handled when invoking a redirect.

In Struts 2 before 2.3.15.1 the information following "action:", "redirect:", or "redirectAction:" is not properly sanitized and will be evaluated as an OGNL expression against the value stack. This introduces the possibility to inject server side code.

Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code via method: prefix, related to chained expressions.

Apache Struts 2.0.0 through 2.3.33 and 2.5 through 2.5.10.1 uses an unintentional expression in a Freemarker tag instead of string literals, which makes it susceptible to remote code execution attacks.

Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 is vulnerable to remote command injection attacks through incorrectly parsing an attacker's invalid Content-Type HTTP header. The Struts vulnerability allows these commands to be executed under the privileges of the Web server.

The Struts 1 plugin in Apache Struts 2.1.x and 2.3.x might allow remote code execution via a malicious field value passed in a raw message to the ActionMessage.

Apache Struts versions 2.3 to 2.3.34 and 2.5 to 2.5.16 suffer from possible remote code execution when alwaysSelectFullNamespace is true (either by user or a plugin like Convention Plugin) and then: results are used with no namespace and in same time, its upper package have no or wildcard namespace and similar to results, same possibility when using url tag which doesn''t have value and action set and in same time, its upper package have no or wildcard namespace.

Apache Struts 2.0.0 to 2.5.20 forced double OGNL evaluation when evaluated on raw user input in tag attributes, which may lead to remote code execution.

Apache Struts 2.0.0 through Struts 2.5.25 is susceptible to remote code execution because forced OGNL evaluation, when evaluated on raw user input in tag attributes, may allow it.

该漏洞由于对CVE-2020-17530的修复不完整造成的，CVE-2020-17530漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 %{x} 且 其中x 的值用户可控时，用户再传入一个 %{payload} 即可造成OGNL表达式执行。在CVE-2021-31805漏洞中，仍然存在部分标签属性会造成攻击者恶意构造的OGNL表达式执行，导致远程代码执行。 fofa: app="Struts2"

Apache Struts2 S2-067漏洞是由于框架对特定请求处理不当导致的远程代码执行漏洞。攻击者可通过精心构造的恶意请求，利用/index.action路径上传恶意文件或执行任意代码。该漏洞主要影响未正确配置或使用过时版本的Struts2应用，尤其在文件上传功能中未严格过滤用户输入时风险加剧。

Apache Struts2是一个基于Java的开源Web应用框架。该漏洞源于在处理转换错误时评估字符串为OGNL表达式，导致远程攻击者可利用此漏洞借助无效的输入，修改run-time数据值，进而执行任意代码。此漏洞利用难度低且危害严重，可导致服务器完全失陷，建议企业立即升级至安全版本。

Apache Struts support in OpenSymphony XWork before 1.2.3, and 2.x before 2.0.4, as used in WebWork and Apache Struts, recursively evaluates all input as an Object-Graph Navigation Language (OGNL) expression when altSyntax is enabled, which allows remote attackers to cause a denial of service (infinite loop) or execute arbitrary code via for"m input beginning with a "%{" sequence and ending with a "}" character.

The CookieInterceptor component in Apache Struts before 2.3.1.1 does not use the parameter-name whitelist, which allows remote attackers to execute arbitrary commands via a crafted HTTP Cookie header that triggers Java code execution through a static method.

Apache Struts before 2.3.1.1 is susceptible to remote code execution. When developer mode is used in the DebuggingInterceptor component, a remote attacker can execute arbitrary OGNL commands via unspecified vectors, which can allow for execution of malware, obtaining sensitive information, modifying data, and/or gaining full control over a compromised system without entering necessary credentials.. NOTE: the vendor characterizes this behavior as not "a security vulnerability itself."

Apache Struts Showcase App 2.0.0 through 2.3.13, as used in Struts 2 before 2.3.14.3, allows remote attackers to execute arbitrary OGNL code via a crafted parameter name that is not properly handled when invoking a redirect.

Apache Struts is prone to multiple open-redirection vulnerabilities because the application fails to properly sanitize user-supplied input.

In Struts 2 before 2.3.15.1 the information following "action:", "redirect:", or "redirectAction:" is not properly sanitized and will be evaluated as an OGNL expression against the value stack. This introduces the possibility to inject server side code.

Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when dynamic method invocation is enabled, allows remote attackers to execute arbitrary code via method: prefix (related to chained expressions).

Apache Struts 2.0.0 through 2.3.33 and 2.5 through 2.5.10.1 uses an unintentional expression in a Freemarker tag instead of string literals, which makes it susceptible to remote code execution attacks.

Apache Struts 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 is susceptible to remote command injection attacks. The Jakarta Multipart parser has incorrect exception handling and error-message generation during file upload attempts, which can allow an attacker to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header. This was exploited in March 2017 with a Content-Type header containing a #cmd= string.

Apache Struts 2.1.x and 2.3.x with the Struts 1 plugin might allow remote code execution via a malicious field value passed in a raw message to the ActionMessage.

The REST Plugin in Apache Struts 2.1.1 through 2.3.x before 2.3.34 and 2.5.x before 2.5.13 uses an XStreamHandler with an instance of XStream for deserialization without any type of filtering, which can lead to remote code execution when deserializing XML payloads.

Apache Struts versions 2.3 to 2.3.34 and 2.5 to 2.5.16 suffer from possible remote code execution when alwaysSelectFullNamespace is true (either by user or a plugin like Convention Plugin) and then: results are used with no namespace and in same time, its upper package have no or wildcard namespace and similar to results, same possibility when using url tag which doesn''t have value and action set and in same time, its upper package have no or wildcard namespace.

Apache Struts 2.0.0 to 2.5.20 forced double OGNL evaluation when evaluated on raw user input in tag attributes, which may lead to remote code execution.

Apache Struts 2.0.0 through Struts 2.5.25 is susceptible to remote code execution because forced OGNL evaluation, when evaluated on raw user input in tag attributes, may allow it.

Apache Struts2 S2-062 is vulnerable to remote code execution. The fix issued for CVE-2020-17530 (S2-061) was incomplete, meaning some of the tag's attributes could still perform a double evaluation if a developer applied forced OGNL evaluation by using the %{...} syntax.

Apache Struts 2.0.0 至 6.4.0之前的版本中的文件上传逻辑存在缺陷。攻击者可以通过操纵文件上传参数实现路径遍历，并在某些情况下上传恶意文件，从而执行远程代码。

Langflow的/validate/code接口存在远程代码执行漏洞（CVE-2025-3248）。该漏洞源于系统未能对用户提交的Python代码片段实施有效的安全沙箱隔离或严格过滤机制，导致攻击者可以通过构造特殊代码注入系统命令（如使用os.system()或子进程调用函数）。此漏洞影响Langflow1.2.0及之前的所有版本，CVSS 3.1评分为9.8分（属于高危漏洞）。建议用户立即升级到最新修复版本，或者临时禁用动态代码验证功能作为缓解措施。

osuuu LightPicture 1.2.2 存在未授权文件上传漏洞。攻击者可以利用该漏洞上传任意PHP文件至服务器，从而执行任意PHP代码，获取服务器权限。

攻击者可以操纵文件上传参数，从而启用路径遍历，在某些情况下，这可能导致上传恶意文件，进而可以用于执行远程代码执行攻击（不使用 FileUploadInterceptor 的应用程序是安全的）。

Apache Struts 存在代码执行漏洞，此漏洞是由于设计缺陷导致的。

Apache Struts 2是用于开发JavaEE Web应用程序的开源Web应用框架。Apache Struts2.0.0至2.3.14.2版本中存在远程命令执行漏洞，远程攻击者可借助带有‘${}’和‘%{}’序列值（可导致判断OGNL代码两次）的请求，利用该漏洞执行任意OGNL代码

S2-012中，包含特制请求参数的请求可用于将任意 OGNL代码注入属性，然后用作重定向地址的请求参数，这将导致进一步评估。当重定向结果从堆栈中读取并使用先前注入的代码作为重定向参数时，将进行第二次评估。这使恶意用户可以将任意OGNL 语句放入由操作公开的任何未过滤的 String 变量中，并将其评估为 OGNL 表达式，以启用方法执行并执行任意方法，从而绕过 Struts 和OGNL 库保护。

Apache Struts存在文件上传漏洞。该漏洞是由于文件上传模块对参数的大小写校验存在缺陷，攻击者可以控制文件上传参数执行目录遍历操作导致的。

Apache Struts 2.5.26 之前的版本存在代码执行漏洞。

Rebuild是一个高度可定制化的企业管理系统。 Rebuild 3.5.5 版本存在安全漏洞，该漏洞源于组件 HTTP Request Handler 的 readRawText 函数的 url 参数存在服务器端请求伪造漏洞。

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 存在安全漏洞，该漏洞源于file upload参数存在路径遍历漏洞。攻击者可利用该漏洞上传恶意文件并执行远程代码。受影响的产品和版本：Apache Struts 2.0.0至2.5.32版本，6.0.0至6.3.0.1版本。

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 存在安全漏洞，该漏洞源于file upload参数存在路径遍历漏洞。攻击者可利用该漏洞上传恶意文件并执行远程代码。受影响的产品和版本：Apache Struts 2.0.0至2.5.32版本，6.0.0至6.3.0.1版本。

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。当<ActionName>-validation.xml配置验证规则时。如果类型验证转换失败，服务器会拼接用户提交的表单值字符串，然后进行OGNL表达式解析并返回从而达到命令执行回显。

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts< 2.5.30存在OGNL表达式注入漏洞（CVE-2021-31805），如果开发人员使用%{...}语法强制OGNL解析时，当对标签属性中未经验证的原始用户输入进行二次解析时，可能会导致远程代码执行，攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行。

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Struts2 会对某些标签属性(比如 id，其他属性有待寻找)的属性值进行二次表达式解析，因此当这些标签属性中使用了 %{x} 且 x 的值用户可控时，用户再传入一个 %{payload}即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。

Apache Struts 2是美国阿帕奇（Apache）基金会的一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。 Apache Struts 2.0.0版本至2.5.29版本存在安全漏洞，该漏洞源于对不受信任的用户输入在标签属性中使用强制 OGNL 评估。攻击者可利用该漏洞进行远程代码执行并导致安全性降低。

Log4j是Apache的一个开源项目，该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断，如果内容中包含了${，则Log4j会认为此字符属于JNDI远程加载类的地址。ApacheStruts2 使用了该项目进行记录日志，攻击者通过构造恶意的代码即可利用该漏洞，从而导致服务器权限丢失

Apache Struts2.0.0-2.3.14.3存在远程OGNL表达式注入漏洞，远程攻击者可利用此漏洞操作服务器端对象并在受影响应用上下文中执行任意命令。此漏洞源于通配符匹配错误。

s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts2.0.12)，struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象，struts框架通过过滤#字符防止安全问题，然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制，执行任意命令。

在Struts2 WebWork 2.1+ 和 Struts 2 的“altSyntax”功能允许将 OGNL表达式插入到文本字符串中并进行递归处理。这允许恶意用户提交一个字符串，通常是通过 HTML 文本字段，其中包含一个 OGNL表达式，如果表单验证失败，服务器将执行该表达式。

【漏洞对象】Apache Struts 2 【涉及版本】2.3-2.3.34，2.5-2.5.16 【漏洞描述】软件存在输入验证漏洞，远程攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Struts 存在代码注入漏洞，攻击者可利用该漏洞可以通过强迫Struts的OGNL评估来使用漏洞来运行代码。

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在代码执行漏洞。攻击者可借助特制的请求利用该漏洞执行代码。

Apache Struts是一款建立Java web应用程序的开放源代码架构。漏洞允许恶意用户绕过内置在ParametersInterceptor中的所有保护(正则表达式模式，拒绝方法调用)，可在任何输出字符串注入恶意表达式作进一步求值。ParametersInterceptor中正则表达式把top[&#39;foo&#39;](0)作为合法表达式，而OGNL作为(top[&#39;foo&#39;])(0)处理，把&#39;foo&#39; action参数值作为OGNL表达式求值。这可导致恶意用户把任意OGNL语句设置在action输出的任意字符串变量中，并以OGNL表示求值，由于OGNL语句在HTTP参数值中，攻击者可以使用黑名单字符如#禁用方法的执行并执行任意方法，绕过ParametersInterceptor和OGNL库保护。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。Apache Struts 2是Apache Struts的下一代产品，是在Struts 1和WebWork的技术基础上进行了合并的全新Struts 2框架，其体系结构与Struts 1差别较大。 Apache Struts 2.3版本至2.3.34版本和2.5版本至2.5.16版本中存在输入验证漏洞。远程攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。Apache Struts 2是Apache Struts的下一代产品，是在Struts 1和WebWork的技术基础上进行了合并的全新Struts 2框架，其体系结构与Struts 1差别较大。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.1版本至2.3.33版本和2.5版本至2.5.10版本存在输入验证错误漏洞。远程攻击者可利用该漏洞执行代码。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。REST plugin是其中的一个处理传入URL请求的插件。 Apache Struts 2.5版本至2.5.12版本和2.1.2版本至2.3.33版本的REST插件存在远程代码执行漏洞。当Struts2通过REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，导致远程攻击者可以利用该漏洞构造恶意的XML内容，进而获取业务数据或服务器权限，执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 使用Struts 1插件的Apache Struts 2.1.x和2.3.x版本存在输入验证错误漏洞。远程攻击者可借助原始消息中的恶意字段值利用该漏洞执行代码。

Apache Struts 2是美国阿帕奇（Apache）基金会的一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。 Apache Struts 2 2.3.32之前的2 2.3.x版本和2.5.10.1之前的2.5.x版本中的Jakarta Multipart解析器存在输入验证错误漏洞，该漏洞源于程序没有正确处理文件上传。远程攻击者可借助带有＃cmd=字符串的特制Content-Type HTTP头利用该漏洞执行任意命令。

Apache Struts 2.3.20版本至2.3.28.1中存在远程代码执行漏洞。攻击者可借助特制的输入利用该漏洞生成恶意的负载，实施攻击。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。Apache Struts 2是Apache Struts的下一代产品，是在Struts 1和WebWork的技术基础上进行了合并的全新Struts 2框架，其体系结构与Struts 1差别较大。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.3.20版本至2.3.28.1版本的REST插件中存在输入验证错误漏洞。远程攻击者可借助恶意的表达式利用该漏洞在服务器端执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.3.19至2.3.20.2版本、2.3.21至2.3.24.1版本和2.3.25至2.3.28版本中存在输入验证错误漏洞。当程序使用REST插件并启用Dynamic Method Invocation时，远程攻击者可通过传递恶意的表达式利用该漏洞在服务器端执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.3.28之前2.x版本中存在安全漏洞，该漏洞源于程序对属性值执行双重判断。远程攻击者可借助tag属性中的‘%{}’序列利用该漏洞执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.3.16.3版本中存在跨站请求伪造漏洞，该漏洞源于程序使用可预测的值。远程攻击者可利用该漏洞绕过CSRF保护机制。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.3.16.3之前的2.x版本的CookieInterceptor中存在安全漏洞，该漏洞源于当使用通配符配置cookiesName参数时，程序没有正确限制对‘getClass’方法的访问。远程攻击者可通过发送特制的请求利用该漏洞控制ClassLoader，并修改会话状态。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 ApacheStruts2.3.20之前版本中存在权限许可和访问控制问题漏洞，该漏洞源于ParametersInterceptor没有正确限制对getClass方法的访问。远程攻击者可借助特制的请求利用该漏洞窃取信息或执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts2 2.3.16.1及之前版本的CookieInterceptor中存在权限许可和访问控制问题漏洞，该漏洞源于当使用通配符cookiesName值时，程序没有正确限制对getClass方法的访问。远程攻击者可通过发送特制的请求利用该漏洞使用ClassLoader，执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.3.16.2之前版本的ParametersInterceptor类中存在安全漏洞。远程攻击者可借助传递到getClass方法的‘class’参数利用该漏洞操作类加载器（ClassLoader）。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0至2.3.15.1版本中存在漏洞，该漏洞源于程序默认启用Dynamic Method Invocation机制。目前尚无关于此漏洞的详细的影响信息。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0至2.3.15版本中存在多个开放重定向漏洞，该漏洞源于程序没有正确过滤用户提交的输入。攻击者可利用这些漏洞构造特制的URI诱使用户跟随，用户打开连接将被重定向到攻击者控制的网站，有助于钓鱼攻击，也可能存在其他形式的攻击。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0至2.3.14.2版本中存在远程命令执行漏洞。远程攻击者可借助在通配符匹配期间不正确处理的操作名称的请求，利用该漏洞执行任意OGNL代码。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0至2.3.14.2版本中存在远程命令执行漏洞。远程攻击者可借助带有‘${}’和‘%{}’序列值（可导致判断OGNL代码两次）的请求，利用该漏洞执行任意OGNL代码。

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0至2.3.14版本中存在代码注入漏洞，该漏洞源于程序没有充分处理用户提交的输入。攻击者可利用该漏洞以运行受影响应用程序用户的权限操控服务器端上下文对象，可完全控制应用程序和底层计算机。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0至2.3.14.1版本中存在安全绕过漏洞，该漏洞源于程序没有充分处理用户提供的输入。攻击者可利用该漏洞以运行应用程序的用户权限控制服务器端的上下文对象，控制应用程序和底层计算机。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 ApacheStruts22.3.14.2之前版本中存在代码注入漏洞。远程攻击者可借助特制的请求利用该漏洞执行任意的OGNL代码。

Apache Struts 2.2.3.1之前的2版本中存在漏洞，该漏洞源于在处理转换错误时评估字符串为OGNL表达式。远程攻击者可利用此漏洞借助无效的输入，修改run-time数据值，进而执行任意代码。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts2 2.3.1.1之前版本中的DebuggingInterceptor组件中存在漏洞。当使用开发模式时，远程攻击者可利用该漏洞借助未明向量执行任意命令。