VULHUB ™

JBoss Seam是一个Java EE5框架，把JSF与EJB3.0组件合并在一起，从而为开发基于Web的企业应用程序提供一个最新的模式。 JBoss Seam在处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击。 JBoss Seam的org.jboss.seam.framework.Query类中没有正确地验证传送给getRenderedEjbql()方式的order参数便将其用于创建EJBQL查询： if ( getOrder()!=null ) builder.append("order by ").append( getOrder() ); return builder.toString(); 这可能允许通过SQL注入攻击控制EJBQL查询，从而在数据库中执行任意代码。

JBoss Seam是一个Java EE5框架，把JSF与EJB3.0组件合并在一起，从而为开发基于Web的企业应用程序提供一个最新的模式。 JBoss Seam在处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击。 JBoss Seam的org.jboss.seam.framework.Query类中没有正确地验证传送给getRenderedEjbql()方式的order参数便将其用于创建EJBQL查询： if ( getOrder()!=null ) builder.append("order by ").append( getOrder() ); return builder.toString(); 这可能允许通过SQL注入攻击控制EJBQL查询，从而在数据库中执行任意代码。