CVE-2017-1000486
CVE-2017-1000486
Em resumo
O Primefaces 5.x usa criptografia fraca que permite a atacantes contornar controles de segurança e executar código arbitrário no servidor. Essa é uma vulnerabilidade crítica porque dá controle total da aplicação a um invasor.
Detalhe técnico
O Primefaces 5.x implementa criptografia inadequada (CWE-326) para proteção de dados sensíveis, permitindo que atacantes descriptografem ou manipulem valores criptografados sem autenticação. Essa implementação criptográfica fraca pode ser explorada para alcançar execução remota de código, resultando em comprometimento completo do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Primetek Primefaces 5.x is vulnerable to a weak encryption flaw resulting in remote code execution
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 9
githubgithub.com/pimps/CVE-2017-1000486★ 94githubgithub.com/0xdsm/pwnfaces★ 19githubgithub.com/mogwailabs/CVE-2017-1000486★ 9githubgithub.com/Pastea/CVE-2017-1000486★ 4githubgithub.com/jam620/primefaces★ 0githubgithub.com/LongWayHomie/CVE-2017-1000486★ 0githubgithub.com/cved-sources/cve-2017-1000486★ 0exploitdbwww.exploit-db.com/exploits/43733não verificadocve_referencewww.exploit-db.com/exploits/43733/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://blog.mindedsecurity.com/2016/02/rce-in-oracle-netbeans-opensource.htmlhttps://cryptosense.com/weak-encryption-flaw-in-primefaces/https://github.com/primefaces/primefaces/issues/1152https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2017-1000486https://www.exploit-db.com/exploits/43733/