正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

Expression Language Injection

Description

It is possible to execute arbitrary Expression Language (EL) statements on the target application server. EL injection is a critical severity vulnerability that can lead to full system compromise. EL injection can occur when attacker-controlled data is used to construct EL statements without neutralizing special characters. These special characters could modify the intended EL statement prior to it being executed by an interpreter.

Remediation

User-controlled data should always have special elements neutralized when used as part of constructing Expression Language statements. Please consult the documentation for the EL interpreter in use on how properly neutralize user controlled data.

Details

IDAggregatedCWETypeRisk
917.1false917Activehigh