La Inyección del lenguaje de expresión de PrimeFaces se explica aquí: enlace
Feliz por la aclaración acerca de la remediación:
¿Por qué no es suficiente para filtrar todas las solicitudes con pfdrt=sc
?
¿Por qué es necesario garantizar que el parámetro pfdrid
tenga más de 16 bytes y esté codificado en Base64?