{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>JBoss Seam, versions 1.x.</p>","content":"## Description\n\nLe contenu de la variable order, param\u00e8tre d'entr\u00e9e pour la m\u00e9thode\ngetRenderedEjbql(), n'est pas suffisamment filtr\u00e9. Cette insuffisance\npermet \u00e0 un utilisateur malveillant d'injecter des requ\u00eates SQL. Ce\ndernier peut alors porter atteinte \u00e0 la confidentialit\u00e9 ou \u00e0 l'int\u00e9grit\u00e9\ndes donn\u00e9es de la base.\n\n## Solution\n\nLa version 2.0.0.GA r\u00e9soud le probl\u00e8me. Se r\u00e9f\u00e9rer au bulletin de\ns\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section\nDocumentation).\n","cves":[],"links":[{"title":"Bulletin JBSEAM-2084 du 14 octobre 2007 :","url":"http://jira.jboss.com/jira/browse/JBSEAM-2084"},{"title":"Bulletin de changement de JBoss Seam :","url":"http://sourceforge.net/project/shownotes.php?release_id=549490&group_id=22866"}],"reference":"CERTA-2007-AVI-548","revisions":[{"description":"version initiale.","revision_date":"2007-12-18T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans JBoss Seam permet \u00e0 un utilisateur malveillant de\nmanipuler ind\u00fbment des donn\u00e9es \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9 de JBoss","vendor_advisories":[]}