製品・ソフトウェアに関する情報

JVN脆弱性詳細

JBoss Seam の org.jboss.seam.framework.Query クラスにおける任意の EJBQL コマンドを実行される脆弱性

Title	JBoss Seam の org.jboss.seam.framework.Query クラスにおける任意の EJBQL コマンドを実行される脆弱性
Summary	JBoss Seam の org.jboss.seam.framework.Query クラスの getRenderedEjbql メソッドには、任意の EJBQL コマンドを挿入および実行される脆弱性が存在します。
Possible impacts	第三者により、order パラメータを介して、任意の EJBQL コマンドを挿入および実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 18, 2007, midnight
Registration Date	Sept. 25, 2012, 4:59 p.m.
Last Update	Sept. 25, 2012, 4:59 p.m.

Affected System

レッドハット

JBoss Seam 2.0.0.CR3 未満の 2.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-6433	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6433
National Vulnerability Database (NVD)
2	CVE-2007-6433	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-6433

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Red Hat Security Advisory
1	RHSA-2008:0213	http://www.redhat.com/support/errata/RHSA-2008-0213.html

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2007-6433

Summary	The getRenderedEjbql method in the org.jboss.seam.framework.Query class in JBoss Seam 2.x before 2.0.0.CR3 allows remote attackers to inject and execute arbitrary EJBQL commands via the order parameter.
Summary	El método getRenderedEjbql en la clase org.jboss.seam.framework.Query en JBoss Seam 2.x anterior a 2.0.0.CR3 permite a atacantes remotos inyectar y ejecutar comandos EJBQL de su elección a través del parámetro order.
Publication Date	Dec. 19, 2007, 5:46 a.m.
Registration Date	Jan. 29, 2021, 2:25 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:jboss:seam::cr2::::::*			2.0.0

Related information, measures and tools

No	URL	refsource
1	http://jira.jboss.com/jira/browse/JBSEAM-2084	cve@mitre.org
2	http://osvdb.org/42631	cve@mitre.org
3	http://secunia.com/advisories/28077	cve@mitre.org
4	http://sourceforge.net/project/shownotes.php?release_id=549490&group_id=22866	cve@mitre.org
5	http://www.redhat.com/support/errata/RHSA-2008-0151.html	cve@mitre.org
6	http://www.redhat.com/support/errata/RHSA-2008-0158.html	cve@mitre.org
7	http://www.redhat.com/support/errata/RHSA-2008-0213.html	cve@mitre.org
8	http://www.securityfocus.com/bid/26850	cve@mitre.org
9	http://www.vupen.com/english/advisories/2007/4215	cve@mitre.org
10	http://jira.jboss.com/jira/browse/JBSEAM-2084	af854a3a-2127-422b-91ae-364da2661108
11	http://osvdb.org/42631	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/advisories/28077	af854a3a-2127-422b-91ae-364da2661108
13	http://sourceforge.net/project/shownotes.php?release_id=549490&group_id=22866	af854a3a-2127-422b-91ae-364da2661108
14	http://www.redhat.com/support/errata/RHSA-2008-0151.html	af854a3a-2127-422b-91ae-364da2661108
15	http://www.redhat.com/support/errata/RHSA-2008-0158.html	af854a3a-2127-422b-91ae-364da2661108
16	http://www.redhat.com/support/errata/RHSA-2008-0213.html	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securityfocus.com/bid/26850	af854a3a-2127-422b-91ae-364da2661108
18	http://www.vupen.com/english/advisories/2007/4215	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html