Apache MyFaces Core ‘ln’ 参数目录遍历漏洞

漏洞信息详情

Apache MyFaces Core ‘ln’ 参数目录遍历漏洞

• CNNVD编号：CNNVD-201202-183
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2011-4367
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-08-06
  
• 厂        商：
  
  apache
• 漏洞来源：
  Paul Nicolucci

Apache MyFaces是美国阿帕奇（Apache）软件基金会的一个项目，它实现了JavaServer Faces（JSF，一个用于构建Web应用程序的标准Java框架）。Core是其中的一个实现了JSF 1.1、JSF 1.2、JSF 2.0和JSF 2.1规范的子项目。

Apache MyFaces Core 2.0.0至2.0.111 版本和2.1.0至2.1.5版本的MyFaces JSF中存在目录遍历漏洞，该漏洞源于faces/javax.faces.resource/web.xml页面没有充分过滤‘ln’参数，faces/javax.faces.resource/页面没有充分过滤‘PATH_INFO’参数。远程攻击者可借助目录遍历字符利用该漏洞读取任意文件。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://myfaces.apache.org/

来源:SECUNIA

链接:http://secunia.com/advisories/47973

来源:MLIST

链接:http://mail-archives.apache.org/mod_mbox/myfaces-announce/201202.mbox/%3C4F33ED1F.4070007%40apache.org%3E

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2012/Feb/150

来源:OSVDB

链接:http://osvdb.org/show/osvdb/79002

来源:BID

链接:https://www.securityfocus.com/bid/51939

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/73100

来源:access.redhat.com

链接:https://access.redhat.com/security/cve/cve-2011-4367