New Struts2 Remote Code Execution Exploit Caught in the Wild medium.com/wallarm/new-strut… #bugbounty #bugbountytips #bugbountytip

Struts2詳しいですよ（伝わらない

YAGNI という言葉をご存知ない? Struts2 を破綻させたOGNLの事例もご存知ない? 柔軟な対応能力はシステムとしてのセキュリティを壊しうるからこそ、不自由にせざるを得ないのですよ。 全知全能の未来予知を技術者に求めている、魔法使いではない。

Struts2ｻｲｺｰ

Testing targets running JBoss or other Java application servers? 🧐 JexBoss is a Python-based tool for verifying and exploiting vulnerabilities in JBoss, including Java deserialization flaws across multiple frameworks like JSF, Seam, Jenkins, Struts2, and more! It even supports network auto-scan mode to scan entire CIDR ranges and auto-exploit! 🤠 Check it out! 👇 github.com/joaomatosf/jexbos…

CORBAとか名前しか聞いたことなくてまだStruts2とAnt、VSSで済んでる私は全然若くて自信が付きました🤟

31 new OPEN, 31 new PRO (31 0) Apache Struts2 XXE Injection, FreePBX CVEs, LandUpdate808, TA569, Win32/Lumma Stealer, ZPHP Thanks @tetsuoai, @James_inthe_box, @sysdig Please be aware next Monday (Jan 19) is a US holiday. Daily rule releases will recommence afterwards.

struts2有很多安全方面的漏洞，容易被黑客攻击

什么，struts2竟然还在！

Our team is researching a novel vulnerability analysis AI Agent🥳. This is (part of) its report on the 🚨CVE-2025-68493 Apache #Struts2 vulnerability🧐

🚨 CRITICAL ALERT: Apache Struts2 XXE Exposed (CVE-2025-68493) ZAST.AI discovered a high severity XXE vulnerability in XWork-Core allows threat actors steal files & trigger SSRF. The flaw was hidden in DomHelper's unconfigured SAX parser. ⚡ Discovered by ZAST.ai AI Agent — proving once again that AI-driven logic beats pattern matching. Patch immediately (Struts2 <= 6.0.3)! 🔗 Vulnerability reports: cwiki.apache.org/confluence/… #ZAST #AppSec #CyberSecurity #XXE #ApacheStruts2

Another major framework, another hidden vulnerability missed by pattern matching. We just uncovered and disclosed a High-Severity XXE in Apache Struts2 (CVE-2025-68493) with our AI agent - ZAST.AI. The flaw was buried deep in DomHelper's unconfigured SAX parser. Traditional SAST tools marked it "safe" because the syntax looked fine. Our AI Agent tracked the object state and proved otherwise. Patch is out. Details 👇 cwiki.apache.org/confluence/… #ZAST #AppSec #CyberSecurity #XXE #ApacheStruts2 #CVE

⚠️⚠️ CVE-2025-68493: Critical Security Warning: Apache Struts 2 "XML Trap" 🔗FOFA Link: en.fofa.info/result?qbase64=… 🎯2.4M Results are found on the en.fofa.info nearly year. FOFA Query: app="Struts2" 🔖Refer: securityonline.info/the-xml-… #OSINT #FOFA #CyberSecurity #Vulnerability

🚨 CVE-2025-68493 (CVSS N/A): Apache Struts, Apache Struts: XXE vulnerability in outdated XWork component Missing XML Validation vulnerability in Apache Struts, Apache Struts. This issue affects Apache Struts: from 2.0.0 before 2.2.1; Apache Struts: from 2.2.1 through 6.1.0. Users are recommended to upgrade to version 6.1.1, which fixes the issue. Search by vul.cve Filter 👉 vul.cve="CVE-2025-68493" ZoomEye Dork 👉 app="Apache Struts2" 2.63m exposed instances. ZoomEye Link: zoomeye.ai/searchResult?q=dn… Refer: cwiki.apache.org/confluence/… #ZoomEye #NetSec #OSINT #CyberSecurity #ApacheStruts2 #WebAppSecurity #VulnerabilityResearch #InfoSec

OWASP Top 10 (2017) El OWASP Top 10 – 2017 marcó una de las transformaciones más profundas en la historia del proyecto. Fue la primera edición en seis años, y durante ese período la web cambió radicalmente: • APIs REST y microservicios • SaaS masivos • DevOps y automatización • JavaScript del lado del servidor • Frameworks como Angular, React, Laravel, Django, Spring Todo esto produjo nuevos riesgos, cambios en incidencias y la necesidad de redefinir la taxonomía. Además, 2017 fue una edición polémica, ya que se introdujeron categorías nuevas (unas muy necesarias, otras discutidas). A1 – Injection Injection se mantuvo en el primer puesto, como en 2010 y 2013. Incluía: • SQL Injection • NoSQL Injection • Command Injection • ORM Injection • LDAP/XPath/XML Injection Por qué seguía siendo #1: Las brechas masivas seguían teniendo origen en SQLi, especialmente en aplicaciones legacy. A2 – Broken Authentication Evolución del “Broken Authentication and Session Management”. Ahora separado y más enfocado en: • passwords débiles • mal uso de tokens • autenticación insuficiente • mecanismos de login inseguros • problemas derivados de sesiones sin protección Contexto histórico: Con la masificación de APIs y autenticación móvil, los errores se multiplicaron. A3 – Sensitive Data Exposure Se puso en el top 3 debido a: • leaks masivos de datos personales • brechas por mala protección de bases de datos • cifrado incorrecto o inexistente • falta de TLS o configuraciones débiles Dato clave: En 2016–2017 se filtraron cientos de millones de registros, lo que justificó esta posición. A4 – XML External Entities (XXE) (Nueva categoría) Una de las novedades más importantes. XXE aparecía en: • servicios SOAP • procesadores XML • parsers con DTD habilitado Permitía ataques como: • lectura de archivos locales • escaneo interno • SSRF • RCE (según parser) Motivo de su incorporación: El auge de APIs basadas en XML en banca y empresas la hacía crítica. A5 – Broken Access Control (Unificación con IDOR) Por primera vez, OWASP agrupa: • IDOR • Missing Function Level Access Control • Fallas en control horizontal/vertical Fue un paso enorme: la seguridad web tenía un problema sistémico de autorización, no solo de parámetros. A6 – Security Misconfiguration Misconfig no cambió mucho, pero subió en prioridad. Incluía: • servidores por defecto • errores expuestos • archivos sensibles accesibles • permisos incorrectos • falta de hardening • paneles admin abiertos Motivo: El auge de contenedores y cloud aumentaba la complejidad y la probabilidad de errores. A7 – Cross-Site Scripting (XSS) Por primera vez, XSS deja el top 3 y cae al puesto 7. Motivo directo: Los frameworks modernos empezaron a sanitizar por defecto (Angular, React). Sin embargo, DOM XSS seguía siendo frecuente. A8 – Insecure Deserialization (Nueva categoría y muy controversial) Una de las inclusiones más debatidas en la historia. La deserialización insegura afectaba a aplicaciones: • Java (muy afectadas) • PHP • Python • .NET Permitía: • RCE • manipulación de objetos • escalamiento de privilegios • bypass de autenticación Polémica: Era peligrosa y grave, pero algunos argumentaban que no era tan común en todas las industrias. A9 – Using Components with Known Vulnerabilities Consolidada desde 2013, cobra aún más relevancia. Incluía: • librerías desactualizadas • CVEs sin aplicar • frameworks vulnerables • módulos de terceros inseguros Motivo: Ataques como Struts2 en 2017 demostraron el impacto devastador de una sola dependencia vulnerable. A10 – Insufficient Logging & Monitoring (Nueva categoría) Otra categoría polémica, pero muy acertada. Incluía fallas como: • falta de logs • logs incompletos • ausencia de alertas • monitoreo deficiente Esto impedía: • detectar ataques • responder incidentes • cumplir requisitos forenses • identificar brechas Importancia histórica: Grandes filtraciones se detectaban meses después, lo que impulsó esta categoría.

まぁユーザ入力をポンポン気軽にプロパティに設定しちゃう作りを組み込む時点でセキュリティ意識はｱﾚか… Struts2のfoo.bar.bazがsetterになったりgetterになったりするのとﾙｲｰｼﾞしてるね