Apache MyFaces “javax.faces.resource” fájl szivárogtatás sérülékenység


2012. február 10. 11:51

CH azonosító

CH-6387

Angol cím

Apache MyFaces "javax.faces.resource" File Disclosure Vulnerability

Felfedezés dátuma

2012.02.09.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 2.0.x
Apache MyFaces 2.1.x

Összefoglaló

Az Apache MyFaces olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki.

Leírás

Az URL-hez hozzáfűzött vagy az “ln” paraméter által átadott bemeneti adat a “javax.faces.resource” erőforrás kezelőnek nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítésére felhasználásra kerülne. Ez kihasználható bizonyos helyi útvonalon elhelyezett fájlok kiszivárogtatására könyvtár bejárással (directory traversal).

A sérülékenységet a 2.0.1 és 2.0.11, valamint a 2.1.0 és 2.1.5 közötti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 47973
CVE-2011-4367 - NVD CVE-2011-4367
Egyéb referencia: mail-archives.apache.org

Legfrissebb sérülékenységek
CVE-2025-26385 – Johnson Controls Metasys command injection sérülékenység
CVE-2026-24423 – SmarterTools SmarterMail Missing Authentication for Critical Function sérülékenység
CVE-2026-25049 – n8n sérülékenység
CVE-2025-15467 – OpenSSL sérülékenység
CVE-2025-40551 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység
CVE-2019-19006 – Sangoma FreePBX Improper Authentication sérülékenység
CVE-2025-64328 – Sangoma FreePBX OS Command Injection sérülékenység
CVE-2021-39935 – GitLab Community and Enterprise Editions Server-Side Request Forgery (SSRF) sérülékenység
CVE-2025-11953 – React Native Community CLI sérülékenysége
CVE-2026-1281 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenység
Tovább a sérülékenységekhez »