JBoss RichFaces Framework

Die Schwachstelle steckt im JBoss RichFaces Framework von Red Hat, einer Komponentenbibliothek zum Bau von Web-Oberflächen auf Java-Basis. Schwachstelle ist die sogenannte UserResource-Ressource, über die sich Ausdrücke der Expression Language (EL) einschleusen lassen. Ein Angreifer kann aus der Ferne und ohne vorherige Anmeldung präparierte, serialisierte Java-Objekte – konkret über die Klasse org.ajax4jsf.resource.UserResource$UriData – an die Anwendung senden. Über diese Verkettung serialisierter Objekte wird die EL-Auswertung missbraucht, sodass der Angreifer beliebigen Code auf dem Server ausführen kann. Da das Framework serverseitig in Webanwendungen eingebunden ist, erlangt der Angreifer damit Kontrolle über die betroffene Anwendung und das darunterliegende System. Betroffen sind Webanwendungen, die diese Komponentenbibliothek verwenden und deren UserResource-Ressource aus dem Netz erreichbar ist – ein besonders exponierter Angriffspunkt.