Red Hat JBoss sérülékenység

CH azonosító

CH-14521

Angol cím

Red Hat JBoss RichFaces Expression Language Injection Arbitrary Code Execution Vulnerability

Felfedezés dátuma

2018.11.06.

Súlyosság

Kritikus

Érintett rendszerek

Red Hat

Érintett verziók

Red Hat JBoss Richfaces 3.x

Összefoglaló

A Red Hat JBoss RichFaces egy kritikus kockázati besorolású sérülékenységét fedezték fel, amit kihasználva egy hitelesítés nélküli támadó tetszőleges kódot tud befecskendezni a rendszerbe.

Leírás

A sérülékenységet az okozza, hogy a szoftver lehetővé teszi tetszőleges Expression Language (EL) kifejezés befecskendezését. Ezt kihasználva egy támadónak lehetősége van az org.ajax4jsf.resource.UserResource$UriData objektum használatával káros tartalmú adatokat átadni a megcélzott rendszernek, aminek következtében tetszőleges Java kódot hajthat végre.

Megoldás

Telepítse a javítócsomagokat