阿里云漏洞库

该漏洞EXP已公开传播，漏洞利用成本极低，建议您立即关注并修复。

漏洞描述

JBoss RichFaces是一个具 Ajax和JSF特性的Web框架。

RichFaces ResourceBuilderImpl处理反序列化存在在安全漏洞，允许远程攻击者利用此漏洞发送特殊数据，执行部署在服务器上任意可序列化类中的反序列化方法。此漏洞所产生的影响其严重程序取决于这些类的反序列化逻辑。远程攻击者可以利用漏洞以应用程序上下文执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://rhn.redhat.com/errata/RHSA-2013-1041.html
https://rhn.redhat.com/errata/RHSA-2013-1042.html
https://rhn.redhat.com/errata/RHSA-2013-1043.html
https://rhn.redhat.com/errata/RHSA-2013-1044.html
https://rhn.redhat.com/errata/RHSA-2013-1045.html

参考链接
http://jvn.jp/en/jp/JVN38787103/index.html
http://jvndb.jvn.jp/jvndb/JVNDB-2013-000072
http://packetstormsecurity.com/files/156663/Richsploit-RichFaces-Exploitation...
http://rhn.redhat.com/errata/RHSA-2013-1041.html
http://rhn.redhat.com/errata/RHSA-2013-1042.html
http://rhn.redhat.com/errata/RHSA-2013-1043.html
http://rhn.redhat.com/errata/RHSA-2013-1044.html
http://rhn.redhat.com/errata/RHSA-2013-1045.html
http://seclists.org/fulldisclosure/2020/Mar/21
https://access.redhat.com/security/cve/CVE-2013-2165
https://bugzilla.redhat.com/show_bug.cgi?id=973570

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	4.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.0.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.1.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.1.2	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.0.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.0.2	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	5.3.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	4.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.0.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.1.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.2.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	5.2.2	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	4.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	4.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.0.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.0.2	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.1.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.3.0	-
	运行在以下环境
应用	redhat	jboss_enterprise_soa_platform	5.3.1	-
运行在以下环境
应用	redhat	jboss_enterprise_web_platform	5.1.0	-
运行在以下环境
应用	redhat	jboss_enterprise_web_platform	5.1.1	-
运行在以下环境
应用	redhat	jboss_enterprise_web_platform	5.1.2	-
运行在以下环境
应用	redhat	jboss_enterprise_web_platform	5.2.0	-
运行在以下环境
应用	redhat	jboss_operations_network	1.0.0	-
运行在以下环境
应用	redhat	jboss_operations_network	2.0.0	-
运行在以下环境
应用	redhat	jboss_operations_network	2.0.1	-
运行在以下环境
应用	redhat	jboss_operations_network	2.1.0	-
运行在以下环境
应用	redhat	jboss_operations_network	2.2	-
运行在以下环境
应用	redhat	jboss_operations_network	2.3	-
运行在以下环境
应用	redhat	jboss_operations_network	2.3.1	-
运行在以下环境
应用	redhat	jboss_operations_network	2.4	-
运行在以下环境
应用	redhat	jboss_operations_network	2.4.1	-
运行在以下环境
应用	redhat	jboss_operations_network	2.4.2	-
运行在以下环境
应用	redhat	jboss_operations_network	3.0	-
运行在以下环境
应用	redhat	jboss_operations_network	3.0.1	-
运行在以下环境
应用	redhat	jboss_operations_network	3.1	-
运行在以下环境
应用	redhat	jboss_operations_network	3.1.1	-
运行在以下环境
应用	redhat	jboss_operations_network	3.1.2	-
运行在以下环境
应用	redhat	jboss_web_framework_kit	*		Up to (including) 2.2.0
运行在以下环境
应用	redhat	jboss_web_framework_kit	1.0.0	-
运行在以下环境
应用	redhat	jboss_web_framework_kit	1.1.0	-
运行在以下环境
应用	redhat	jboss_web_framework_kit	1.2.0	-
运行在以下环境
应用	redhat	jboss_web_framework_kit	2.0.0	-
运行在以下环境
应用	redhat	jboss_web_framework_kit	2.1.0	-
运行在以下环境
应用	redhat	richfaces	3.1.0	-
运行在以下环境
应用	redhat	richfaces	3.1.1	-
运行在以下环境
应用	redhat	richfaces	3.1.2	-
运行在以下环境
应用	redhat	richfaces	3.1.3	-
运行在以下环境
应用	redhat	richfaces	3.1.4	-
运行在以下环境
应用	redhat	richfaces	3.1.5	-
运行在以下环境
应用	redhat	richfaces	3.1.6	-
运行在以下环境
应用	redhat	richfaces	3.2.0	-
运行在以下环境
应用	redhat	richfaces	3.2.1	-
运行在以下环境
应用	redhat	richfaces	3.2.2	-
运行在以下环境
应用	redhat	richfaces	3.3.0	-
运行在以下环境
应用	redhat	richfaces	3.3.1	-
运行在以下环境
应用	redhat	richfaces	3.3.2	-
运行在以下环境
应用	redhat	richfaces	3.3.3	-
运行在以下环境
应用	redhat	richfaces	4.0.0	-
运行在以下环境
应用	redhat	richfaces	4.1.0	-
运行在以下环境
应用	redhat	richfaces	4.2.0	-
运行在以下环境
应用	redhat	richfaces	4.2.1	-
运行在以下环境
应用	redhat	richfaces	4.2.2	-
运行在以下环境
应用	redhat	richfaces	4.2.3	-
运行在以下环境
应用	redhat	richfaces	4.3.0	-
运行在以下环境
应用	redhat	richfaces	4.3.1	-
运行在以下环境
应用	redhat	richfaces	4.5.0	-
运行在以下环境
应用	redhat	richfaces	5.0.0	-

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

EXP 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

严重 JBoss RichFaces EL表达式注入 安全漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

严重 JBoss RichFaces EL表达式注入安全漏洞