← volver
CVE-2010-1871

CVE-2010-1871

CVSS 8.8 HIGHEPSS 83.4%● KEVCWE-917
En resumen

JBoss Seam 2 no filtra adecuadamente las entradas del usuario en URLs, permitiendo que atacantes inyecten código malicioso que se ejecuta en el servidor. Esto compromete la seguridad de toda la aplicación.

Detalle técnico

La inyección de Expression Language (CWE-917) en JBoss Seam 2 permite ejecución remota de código mediante parámetros de URL no sanitizados procesados por JBoss EL. El ataque requiere configuración inadecuada del Gestor de Seguridad Java; la explotación exitosa otorga ejecución de código arbitrario en el servidor de aplicaciones.

Resumen generado y traducido por IA a partir de la descripción oficial.
JBoss Seam 2 (jboss-seam2), as used in JBoss Enterprise Application Platform 4.3.0 for Red Hat Linux, does not properly sanitize inputs for JBoss Expression Language (EL) expressions, which allows remote attackers to execute arbitrary code via a crafted URL. NOTE: this is only a vulnerability when the Java Security Manager is not properly configured.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas1
exploitdbwww.exploit-db.com/exploits/36653no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://archives.neohapsis.com/archives/bugtraq/2013-05/0117.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=615956https://exchange.xforce.ibmcloud.com/vulnerabilities/60794https://security.netapp.com/advisory/ntap-20161017-0001/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-1871http://www.redhat.com/support/errata/RHSA-2010-0564.htmlhttp://www.securityfocus.com/bid/41994http://www.securitytracker.com/id?1024253http://www.vupen.com/english/advisories/2010/1929