Apache MyFaces információ felfedés sérülékenység – Nemzeti Kiberbiztonsági Intézet

NBSZ-NKI website

Apache MyFaces információ felfedés sérülékenység

2010. október 27. 07:45

CH azonosító

CH-3841

Angol cím

Apache MyFaces Cryptographic Padding Oracle Information Disclosure

Felfedezés dátuma

2010.10.25.

Súlyosság

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 1.1.x, 1.2.x, 2.0.x

Összefoglaló

Az Apache MyFaces olyan sérülékenysége vált ismertté, amelyet kihasználva támadók bizalmas információkhoz juthatnak.

Leírás

A sérülékenységet a MyFaces nem megfelelő hibakezelése okozza a kriptográfiai kiegészítések ellenőrzésekor, bizonyos algoritmusok használata esetén. Ez kihasználható kódolt adatok, pl. View State, visszafejtésre, az érintett szerverről visszaküldött hibakódok segítségével.

Ez kapcsolódik egy korábbi sérülékenységhez:
CH-3675

A sérülékenységet az 1.1.8, 1.2.9 és 2.0.1. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: issues.apache.org
Egyéb referencia: media.blackhat.com
CERT-Hungary CH-3675
SECUNIA 41995
SECUNIA 41409
CVE-2010-2057 - NVD CVE-2010-2057

Legfrissebb sérülékenységek

CVE-2026-27636 – FreeScout sérülékenysége

CVE-2026-28289 – FreeScout sérülékenysége

CVE-2026-21385 – Qualcomm integer overflow sérülékenysége

CVE-2026-26935 – Kibana sérülékenység

CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység

CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység

CVE-2026-21902 – Junos OS Evolved sérülékenység

CVE-2026-22719 – VMware Aria Operations sérülékenység

CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység

CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység

Tovább a sérülékenységekhez »

Ugrás a tetejére