CVE-2018-12533

Опубликовано: 30 мая 2018

Источник: redhat

CVSS3: 9.8

EPSS Высокий

Описание

JBoss RichFaces 3.1.0 through 3.3.4 allows unauthenticated remote attackers to inject expression language (EL) expressions and execute arbitrary Java code via a /DATA/ substring in a path with an org.richfaces.renderkit.html.Paint2DResource$ImageData object, aka RF-14310.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
JBoss Developer Studio 11	RichFaces	Will not fix
Red Hat JBoss BRMS 5	RichFaces	Will not fix
Red Hat JBoss Data Virtualization 6	RichFaces	Not affected
Red Hat JBoss Enterprise Application Platform 6	RichFaces	Not affected
Red Hat JBoss SOA Platform 5	RichFaces	Will not fix
Red Hat JBoss EAP 5	RichFaces	Fixed	RHSA-2018:2663	10.09.2018
Red Hat JBoss Enterprise Application Platform 5 for RHEL 5	richfaces	Fixed	RHSA-2018:2664	10.09.2018
Red Hat JBoss Enterprise Application Platform 5 for RHEL 6	richfaces	Fixed	RHSA-2018:2664	10.09.2018
Red Hat JBoss Operations Network 3.3	RichFaces	Fixed	RHSA-2018:2930	16.10.2018

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Critical

Дефект:

CWE-94

https://bugzilla.redhat.com/show_bug.cgi?id=1584490RichFaces: Injection of arbitrary EL expressions allows remote code execution via org.richfaces.renderkit.html.Paint2DResource

EPSS

Процентиль: 99%

0.75469

Высокий

9.8 Critical

CVSS3

Связанные уязвимости

CVE-2018-12533

CVSS3: 9.8

nvd

больше 7 лет назад

GHSA-4j38-wjhf-884r

CVSS3: 9.8

github

больше 3 лет назад

Arbitrary code execution in Richfaces

BDU:2019-01227

CVSS3: 9.8

fstec

больше 7 лет назад

Уязвимость библиотеки RichFaces, связанная с ошибками управления генерацией кода, позволяющая нарушителю выполнить произвольный Java-код

EPSS

Процентиль: 99%

0.75469

Высокий

9.8 Critical

CVSS3