CVE-2026-41883

Nome do Software Vulnerável e Versões Afetadas OmniFaces versões anteriores a 1.14.2 OmniFaces versões anteriores a 2.7.32 OmniFaces versões anteriores a 3.14.16 OmniFaces versões anteriores a 4.7.5 OmniFaces versões anteriores a 5.2.3

Description A injeção de Expression Language (EL) no lado do servidor permite a Execução Remota de Código (RCE), divulgação de informações ou negação de serviço. Isso ocorre em aplicações que utilizam o CDNResourceHandler com um mapeamento de CDN curinga (ex: 'libraryName:=https://cdn.example.com/'). Um invasor pode criar uma URL de solicitação de recurso contendo uma expressão EL no nome do recurso, que é então avaliada no servidor. O impacto depende da implementação da EL e dos objetos disponíveis no contexto da EL.

Recommendations Atualizar para a versão 1.14.2 Atualizar para a versão 2.7.32 Atualizar para a versão 3.14.16 Atualizar para a versão 4.7.5 Atualizar para a versão 5.2.3 Substituir mapeamentos de CDN curinga por mapeamentos explícitos de recurso para URL.