Tym razem nie jest to jakaś skoordynowana pod względem jednej konkretnej podatności akcja (choć w kilku miejscach przewija się deserializacja). Na początek podatność (krytyczność 9.8/10) w RichFaces, który wchodzi w skład JBossa: The RichFaces Framework 3.X through 3.3.4 is vulnerable to Expression Language (EL) injection via the UserResource resource. A remote, unauthenticated attacker could exploit this to execute arbitrary code using a chain of java serialized objects via org.ajax4jsf.resource.UserRe...

Źródło: sekurak.pl
Dziel się z innymi:
Wysyp krytycznych błędów (RCE): JBoss, .NET Framework, WebShpere, WebLogic

Inne 2199 dni, 18 minut temu Piotr Stapp 90 pokaż kod licznika zwiń

Wczytywanie artykułów...