ГлавнаяБаза уязвимостей БДУ → BDU:2023-02664
7.8высокая

BDU:2023-02664 (CVE-2018-14371)

Уязвимость функции getLocalePrefix (ResourceManager.java) библиотеки Eclipse Mojarra, как реализации EE4J Eclipse для спецификации Jakarta Faces, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-05-19
Описание

Уязвимость функции getLocalePrefix (ResourceManager.java) библиотеки Eclipse Mojarra, как реализации EE4J Eclipse для спецификации Jakarta Faces, связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Red Hat Single Sign-On (7.3)Red Hat JBoss EAP (7.2)Oracle JDeveloper (12.2.1.4.0)Eclipse mojarra (до 2.3.7)Red Hat JBoss EAP (7)Red Hat JBoss Enterprise Application Platform Continuous DeliveryRed Hat JBoss EAP (7.3)
Способ устранения

Использование рекомендаций:

Для Eclipse Mojarra:
https://github.com/eclipse-ee4j/mojarra/commit/1b434748d9239f42eae8aa7d37d7a0930c061e24
https://github.com/advisories/GHSA-43q7-q5vp-3g68

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2023.html?3289

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-14371

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/eclipse-ee4j/mojarra/commit/1b434748d9239f42eae8aa7d37d7a0930c061e24https://github.com/advisories/GHSA-43q7-q5vp-3g68https://www.oracle.com/security-alerts/cpuapr2023.html?3289https://access.redhat.com/security/cve/CVE-2018-14371
Проверьте безопасность своего сайта и почты → Полная проверка домена