표현 언어 주입
설명
대상 응용 프로그램 서버에서 임의의 표현 언어(EL) 문을 실행할 수 있습니다. EL 주입은 전체 시스템 침해로 이어질 수 있는 심각도가 높은 취약점입니다. 공격자가 제어하는 데이터가 특수 문자를 중화하지 않고 EL 문을 작성할 때 EL 주입이 발생할 수 있습니다. 이러한 특수 문자는 해석기에 의해 실행되기 전에 의도된 EL 문을 수정할 수 있습니다.
복구
사용자가 제어하는 데이터를 표현 언어 문을 구성하는 일부로 사용할 때 항상 특수 요소를 중화해야 합니다. EL 해석기 사용 문서를 참조하여 사용자가 제어하는 데이터를 올바르게 중화하는 방법을 확인하십시오.
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 917.1 | False | 917 | Active | High |
도움말