Apache MyFaces “javax.faces.resource” fájl szivárogtatás sérülékenység


2012. február 10. 11:51

CH azonosító

CH-6387

Angol cím

Apache MyFaces "javax.faces.resource" File Disclosure Vulnerability

Felfedezés dátuma

2012.02.09.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 2.0.x
Apache MyFaces 2.1.x

Összefoglaló

Az Apache MyFaces olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki.

Leírás

Az URL-hez hozzáfűzött vagy az “ln” paraméter által átadott bemeneti adat a “javax.faces.resource” erőforrás kezelőnek nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítésére felhasználásra kerülne. Ez kihasználható bizonyos helyi útvonalon elhelyezett fájlok kiszivárogtatására könyvtár bejárással (directory traversal).

A sérülékenységet a 2.0.1 és 2.0.11, valamint a 2.1.0 és 2.1.5 közötti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 47973
CVE-2011-4367 - NVD CVE-2011-4367
Egyéb referencia: mail-archives.apache.org

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység
CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége
CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége
CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége
CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége
CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
Tovább a sérülékenységekhez »