概述

RichFaces Framework 3.X到3.3.4很容易通过UserResource资源注入表达式语言(EL)。 远程未经身份验证的攻击者可以通过org.ajax4jsf.resource.UserResource $ UriData使用一系列java序列化对象来利用它来执行任意代码。

CVE编号

CVE-2018-14667

威胁等级

紧急