一、 漏洞 CVE-2018-12533 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
JBoss RichFaces 3.1.0 到 3.3.4 版本中存在一个漏洞,允许未经身份验证的远程攻击者通过 `/DATA/` 子字符串注入表达式语言 (EL) 表达式,并执行任意 Java 代码。

## 影响版本
- JBoss RichFaces 3.1.0 至 3.3.4

## 细节
攻击者可以通过在具有 `org.richfaces.renderkit.html.Paint2DResource$ImageData` 对象的路径中使用 `/DATA/` 子字符串注入表达式语言 (EL) 表达式,进而执行任意 Java 代码。

## 影响
该漏洞使得未经身份验证的远程攻击者能够通过注入表达式语言在目标系统上执行任意 Java 代码,可能导致代码执行、数据泄露或其他安全隐患。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
JBoss RichFaces 3.1.0 through 3.3.4 allows unauthenticated remote attackers to inject expression language (EL) expressions and execute arbitrary Java code via a /DATA/ substring in a path with an org.richfaces.renderkit.html.Paint2DResource$ImageData object, aka RF-14310.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat JBoss RichFaces 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat JBoss RichFaces是美国红帽(Red Hat)公司的一个开源的JSF(JavaServer Faces)组件库。该库提供内置的JavaScript和Ajax功能。 Red Hat JBoss RichFaces 3.1.0版本至3.3.4版本中存在安全漏洞。远程攻击者可利用该漏洞注入EL表达式并执行任意Java代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-12533 的公开POC
# POC 描述 源链接 神龙链接
1 RF-14310 / CVE-2018-12533 - Payload generator https://github.com/llamaonsecurity/CVE-2018-12533 POC详情
2 None https://github.com/Pastea/CVE-2018-12533 POC详情
3 None https://github.com/mhagnumdw/richfaces-vulnerability-cve-2018-12533-rf-14310 POC详情
三、漏洞 CVE-2018-12533 的情报信息
四、漏洞 CVE-2018-12533 的评论

暂无评论

发表评论