Apache MyFaces információ felfedés sérülékenység – Nemzeti Kiberbiztonsági Intézet

NBSZ-NKI website

Apache MyFaces információ felfedés sérülékenység

2010. október 27. 07:45

CH azonosító

CH-3841

Angol cím

Apache MyFaces Cryptographic Padding Oracle Information Disclosure

Felfedezés dátuma

2010.10.25.

Súlyosság

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 1.1.x, 1.2.x, 2.0.x

Összefoglaló

Az Apache MyFaces olyan sérülékenysége vált ismertté, amelyet kihasználva támadók bizalmas információkhoz juthatnak.

Leírás

A sérülékenységet a MyFaces nem megfelelő hibakezelése okozza a kriptográfiai kiegészítések ellenőrzésekor, bizonyos algoritmusok használata esetén. Ez kihasználható kódolt adatok, pl. View State, visszafejtésre, az érintett szerverről visszaküldött hibakódok segítségével.

Ez kapcsolódik egy korábbi sérülékenységhez:
CH-3675

A sérülékenységet az 1.1.8, 1.2.9 és 2.0.1. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: issues.apache.org
Egyéb referencia: media.blackhat.com
CERT-Hungary CH-3675
SECUNIA 41995
SECUNIA 41409
CVE-2010-2057 - NVD CVE-2010-2057

Legfrissebb sérülékenységek

CVE-2025-64471 – Fortinet FortiWeb sérülékenysége

CVE-2025-59808 – Fortinet FortiSOAR sérülékenysége

CVE-2025-59719 – Fortinet FortiWeb sérülékenysége

CVE-2025-59718 – Fortinet sérülékenysége

CVE-2025-10573 – Ivanti EPM XSS sérülékenysége

CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység

CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység

CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység

CVE-2025-55754 – Apache Tomcat sérülékenysége

CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység

Tovább a sérülékenységekhez »

Ugrás a tetejére