Risque
Exécution de code arbitraire à distance.
Systèmes affectés
JBoss Group JBoss Seam 2.x.
Résumé
Une vulnérabilité dans JBoss permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
JBoss Seam 2 ne gère pas correctement l'accès au JBoss Expression Language dans les pages d'exception. Ce défaut est exploitable par un utilisateur malveillant pour exécuter des méthodes Java arbitraires au moyen d'une adresse réticulaire (URL) spécialement construite.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité RedHat RHSA-2011:0945 à RHSA-2011:0952 du 18 juillet 2011 :
http://rhn.redhat.com/errata/RHSA-2011-0945.html
http://rhn.redhat.com/errata/RHSA-2011-0946.html
http://rhn.redhat.com/errata/RHSA-2011-0947.html
http://rhn.redhat.com/errata/RHSA-2011-0948.html
http://rhn.redhat.com/errata/RHSA-2011-0949.html
http://rhn.redhat.com/errata/RHSA-2011-0950.html
http://rhn.redhat.com/errata/RHSA-2011-0951.html
http://rhn.redhat.com/errata/RHSA-2011-0952.html
- Référence CVE CVE-2011-2196 :
https://www.cve.org/CVERecord?id=CVE-2011-2196