표현 언어 주입

설명

대상 애플리케이션 서버에서 임의의 표현 언어(EL) 문장을 실행할 수 있습니다. EL 주입은 전체 시스템 손상으로 이어질 수 있는 중대한 심각도 취약점입니다. EL 주입은 공격자 제어 데이터를 사용하여 특별한 문자를 중화하지 않고 EL 문장을 구성할 때 발생할 수 있습니다. 이러한 특별한 문자는 해석기에서 실행되기 전에 의도된 EL 문장을 수정할 수 있습니다.

수정 방안

사용자 제어 데이터는 표현 언어 문장을 구성하는 데 사용될 때 항상 특별한 요소가 중화되어야 합니다. 사용자 제어 데이터를 올바르게 중화하는 방법에 대해서는 사용하는 EL 해석기에 대한 문서를 참조하세요.

세부 사항

ID 집계 CWE 유형 위험
917.1 false 917 Active high

링크