Apache MyFaces “javax.faces.resource” fájl szivárogtatás sérülékenység

CH azonosító

CH-6387

Angol cím

Apache MyFaces "javax.faces.resource" File Disclosure Vulnerability

Felfedezés dátuma

2012.02.09.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 2.0.x
Apache MyFaces 2.1.x

Összefoglaló

Az Apache MyFaces olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki.

Leírás

Az URL-hez hozzáfűzött vagy az “ln” paraméter által átadott bemeneti adat a “javax.faces.resource” erőforrás kezelőnek nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítésére felhasználásra kerülne. Ez kihasználható bizonyos helyi útvonalon elhelyezett fájlok kiszivárogtatására könyvtár bejárással (directory traversal).

A sérülékenységet a 2.0.1 és 2.0.11, valamint a 2.1.0 és 2.1.5 közötti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »