Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

JBoss Seam, versions 1.x.

Résumé

Une vulnérabilité dans JBoss Seam permet à un utilisateur malveillant de manipuler indûment des données à distance.

Description

Le contenu de la variable order, paramètre d'entrée pour la méthode getRenderedEjbql(), n'est pas suffisamment filtré. Cette insuffisance permet à un utilisateur malveillant d'injecter des requêtes SQL. Ce dernier peut alors porter atteinte à la confidentialité ou à l'intégrité des données de la base.

Solution

La version 2.0.0.GA résoud le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation