Reflected Cross-Site Scripting in Oracle Mojarra JSF

Project Description

Die Mojarra Implementierung von JavaServer Faces (JSF) v2.2 und v2.3 ist von einer möglichen XSS-Schwachstelle betroffen, da der javax.faces.ClientWindow Parameter unzureichend gefiltert wird.

Zum Security-Advisory (Englisch)

 

Security Research: Jean-Benjamin Rousseau, Guillaume Crouquet / @2019

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleReflected Cross-Site Scripting (XSS)
  • ProductOracle Mojarra JSF included in Java EE 7
  • Vulnerable versionEclipse Mojarra JSF
  • Fixed version2.2 & 2.3
  • CVE numbersee solution
  • Impact-
  • HomepageMedium
  • Foundhttps://javaserverfaces.github.io/
  • By2018-11-12
  • ============================Jean-Benjamin Rousseau, Guillaume Crouquet (Office Zurich) | SEC Consult Vulnerability Lab