首页 > 安全研究 > 安全通报 > 安全通告

JBoss远程代码执行漏洞安全通告

发布时间 2018-11-09

漏洞编号和级别


CVE编号:CVE-2018-14667,危险级别:高危,CVSS分值:厂商自评 9.8,官方未评定


影响版本


RichFaces Framework 3.X到3.3.4


漏洞概述


RichFaces Framework 3.X到3.3.4很容易通过UserResource资源注入表达式语言(EL)。 远程未经身份验证的攻击者可以通过org.ajax4jsf.resource.UserResource $ UriData使用一系列java序列化对象来利用它来执行任意代码。


漏洞验证


暂无POC/EXP


修复建议


.RedHat官方已经发布了新版本修复了该漏洞,请受影响的用户及时更新版本,形成对此漏洞长期有效的防护。
https://access.redhat.com/errata/RHSA-2018:3517

https://access.redhat.com/errata/RHSA-2018:3518


参考链接


https://securitytracker.com/id/1042037
上一篇 下一篇