Red Hat JBoss RichFaces Framework Expression Language Injection Vulnerability — Red Hat JBoss RichFaces Framework contains an expression language injection vulnerability via the UserResource resource. A remote, unauthenticated attacker could exploit this vulnerability to execute malicious code using a chain of Java serialized objects via org.ajax4jsf.resource.UserResource$UriData.
CVE-2018-14667 is a critical expression language injection vulnerability in Red Hat JBoss RichFaces Framework that allows unauthenticated remote attackers to execute arbitrary code through malicious serialized Java objects. The vulnerability affects the UserResource component and can be exploited without authentication.
ثغرة حقن لغة التعبير في إطار عمل Red Hat JBoss RichFaces تسمح للمهاجمين البعيدين بتنفيذ أكواد عشوائية دون المصادقة. يمكن استغلال الثغرة من خلال سلسلة من كائنات Java المسلسلة عبر مكون org.ajax4jsf.resource.UserResource$UriData.
This critical vulnerability in JBoss RichFaces allows remote attackers to inject and execute malicious code through expression language injection in the UserResource component. Attackers can exploit this without authentication using crafted serialized Java objects to achieve remote code execution.
Immediately upgrade Red Hat JBoss RichFaces Framework to version 4.5.17.Final or later. Apply security patches from Red Hat's advisory RHSA-2018:2927. Disable or restrict access to the UserResource endpoint if immediate patching is not possible. Implement network segmentation and Web Application Firewall rules to block suspicious serialized object patterns.
قم بترقية Red Hat JBoss RichFaces Framework إلى الإصدار 4.5.17.Final أو أحدث فوراً. طبق تصحيحات الأمان من استشارة Red Hat RHSA-2018:2927. عطّل أو قيّد الوصول إلى نقطة نهاية UserResource إذا لم يكن الترقيع الفوري ممكناً. طبق تقسيم الشبكة وقواعد جدار تطبيقات الويب لحجب أنماط الكائنات المسلسلة المريبة.