Apache MyFaces “javax.faces.resource” fájl szivárogtatás sérülékenység

2012. február 10. 11:51

CH azonosító

CH-6387

Angol cím

Apache MyFaces "javax.faces.resource" File Disclosure Vulnerability

Felfedezés dátuma

2012.02.09.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 2.0.x
Apache MyFaces 2.1.x

Összefoglaló

Az Apache MyFaces olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki.

Leírás

Az URL-hez hozzáfűzött vagy az “ln” paraméter által átadott bemeneti adat a “javax.faces.resource” erőforrás kezelőnek nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítésére felhasználásra kerülne. Ez kihasználható bizonyos helyi útvonalon elhelyezett fájlok kiszivárogtatására könyvtár bejárással (directory traversal).

A sérülékenységet a 2.0.1 és 2.0.11, valamint a 2.1.0 és 2.1.5 közötti verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység

CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység

CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység

CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység

CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység

CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység

CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység

CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége

CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység

CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység

Tovább a sérülékenységekhez »

Apache MyFaces “javax.faces.resource” fájl szivárogtatás sérülékenység