Vulnerabilidad en jboss-seam.jar en el framework de JBoss Seam 2 (CVE-2011-2196)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
27/07/2011
Última modificación:
11/04/2025
Descripción
jboss-seam.jar en el framework de JBoss Seam 2 v2.2.x y anteriores, como el distribuido en Red Hat JBoss Enterprise SOA Platform v4.3.0.CP05 y v5.1.0; JBoss Enterprise Application Platform (también conocido como JBoss EAP o JBEAP) v4.3.0, v4.3.0.CP09, y v5.1.1; y JBoss Enterprise Web Platform v5.1.1, no restringen el uso de elementos Expression Language (EL) en FacesMessages durante la gestión de la página de excepción, lo que permite a atacantes remotos ejecutar código Java a través de una URL manipulada para una aplicación. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2011-1484.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:cp09:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp05:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:*:*:*:*:*:*:*:* | 2.2.2 (incluyendo) | |
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.0:cr1:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.0:cr2:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.0:cr3:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.0:ga:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.1:cr1:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.1:cr2:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_seam_2_framework:2.0.1:ga:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.redhat.com/support/errata/RHSA-2011-0945.html
- http://www.redhat.com/support/errata/RHSA-2011-0946.html
- http://www.redhat.com/support/errata/RHSA-2011-0947.html
- http://www.redhat.com/support/errata/RHSA-2011-0948.html
- http://www.redhat.com/support/errata/RHSA-2011-0949.html
- http://www.redhat.com/support/errata/RHSA-2011-0950.html
- http://www.redhat.com/support/errata/RHSA-2011-0951.html
- http://www.redhat.com/support/errata/RHSA-2011-0952.html
- http://www.securityfocus.com/bid/48716
- https://bugzilla.redhat.com/show_bug.cgi?id=712283
- http://www.redhat.com/support/errata/RHSA-2011-0945.html
- http://www.redhat.com/support/errata/RHSA-2011-0946.html
- http://www.redhat.com/support/errata/RHSA-2011-0947.html
- http://www.redhat.com/support/errata/RHSA-2011-0948.html
- http://www.redhat.com/support/errata/RHSA-2011-0949.html
- http://www.redhat.com/support/errata/RHSA-2011-0950.html
- http://www.redhat.com/support/errata/RHSA-2011-0951.html
- http://www.redhat.com/support/errata/RHSA-2011-0952.html
- http://www.securityfocus.com/bid/48716
- https://bugzilla.redhat.com/show_bug.cgi?id=712283