Apache MyFaces “javax.faces.resource” fájl szivárogtatás sérülékenység

CH azonosító

CH-6387

Angol cím

Apache MyFaces "javax.faces.resource" File Disclosure Vulnerability

Felfedezés dátuma

2012.02.09.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 2.0.x
Apache MyFaces 2.1.x

Összefoglaló

Az Apache MyFaces olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki.

Leírás

Az URL-hez hozzáfűzött vagy az “ln” paraméter által átadott bemeneti adat a “javax.faces.resource” erőforrás kezelőnek nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítésére felhasználásra kerülne. Ez kihasználható bizonyos helyi útvonalon elhelyezett fájlok kiszivárogtatására könyvtár bejárással (directory traversal).

A sérülékenységet a 2.0.1 és 2.0.11, valamint a 2.1.0 és 2.1.5 közötti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra