Clapbr

**Nome do Software Vulnerável e Versões Afetadas** OmniFaces versões anteriores a 1.14.2 OmniFaces versões anteriores a 2.7.32 OmniFaces versões anteriores a 3.14.16 OmniFaces versões anteriores a 4.7.5 OmniFaces versões anteriores a 5.2.3 **Description** A injeção de Expression Language (EL) no lado do servidor permite a Execução Remota de Código (RCE), divulgação de informações ou negação de serviço. Isso ocorre em aplicações que utilizam o `CDNResourceHandler` com um mapeamento de CDN curinga (ex: 'libraryName:*=https://cdn.example.com/*'). Um invasor pode criar uma URL de solicitação de recurso contendo uma expressão EL no nome do recurso, que é então avaliada no servidor. O impacto depende da implementação da EL e dos objetos disponíveis no contexto da EL. **Recommendations** Atualizar para a versão 1.14.2 Atualizar para a versão 2.7.32 Atualizar para a versão 3.14.16 Atualizar para a versão 4.7.5 Atualizar para a versão 5.2.3 Substituir mapeamentos de CDN curinga por mapeamentos explícitos de recurso para URL.