CVE-2010-1871
CVE-2010-1871
Em resumo
O JBoss Seam 2 não filtra adequadamente entradas do usuário em URLs, permitindo que atacantes injetem código malicioso que é executado no servidor. Isso compromete a segurança da aplicação inteira.
Detalhe técnico
Injeção de Expression Language (CWE-917) no JBoss Seam 2 permite execução remota de código através de parâmetros de URL não sanitizados processados pelo JBoss EL. O ataque requer configuração inadequada do Java Security Manager; a exploração bem-sucedida concede execução de código arbitrário no servidor de aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
JBoss Seam 2 (jboss-seam2), as used in JBoss Enterprise Application Platform 4.3.0 for Red Hat Linux, does not properly sanitize inputs for JBoss Expression Language (EL) expressions, which allows remote attackers to execute arbitrary code via a crafted URL. NOTE: this is only a vulnerability when the Java Security Manager is not properly configured.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/36653não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://archives.neohapsis.com/archives/bugtraq/2013-05/0117.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=615956https://exchange.xforce.ibmcloud.com/vulnerabilities/60794https://security.netapp.com/advisory/ntap-20161017-0001/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-1871http://www.redhat.com/support/errata/RHSA-2010-0564.htmlhttp://www.securityfocus.com/bid/41994http://www.securitytracker.com/id?1024253http://www.vupen.com/english/advisories/2010/1929