Összefoglaló
A Red Hat JBoss RichFaces egy kritikus kockázati besorolású sérülékenységét fedezték fel, amit kihasználva egy hitelesítés nélküli támadó tetszőleges kódot tud befecskendezni a rendszerbe.
Leírás
A sérülékenységet az okozza, hogy a szoftver lehetővé teszi tetszőleges Expression Language (EL) kifejezés befecskendezését. Ezt kihasználva egy támadónak lehetősége van az org.ajax4jsf.resource.UserResource$UriData objektum használatával káros tartalmú adatokat átadni a megcélzott rendszernek, aminek következtében tetszőleges Java kódot hajthat végre.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: access.redhat.com
Egyéb referencia: tools.cisco.com
CVE-2018-14667 - NVD CVE-2018-14667