JBoss企业应用平台JMX控制台安全绕过漏洞
2010年5月8日
没有评论 359 views
漏洞起因
设计错误
危险等级
中
影响系统
JBoss Application Server (AS) 4.0.x
JBoss Communications Platform 1.2
JBoss Enterprise Application Platform (EAP) 4.2, 4.3, 5.0
JBoss Enterprise Portal Platform (EPP) 4.3
JBoss Enterprise Web Platform (EWP) 5.0
JBoss SOA-Platform (SOA-P) 4.2, 4.3, 5.0
不受影响系统
危害
远程攻击者可以利用漏洞绕过验证访问控制接口。
攻击所需条件
攻击者必须访问JBoss Enterprise Application Platform应用。
漏洞信息
JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
JBoss Enterprise Application Platform WEB控制台(/web-console)缺少正确限制,攻击者提交没有指定GET或POST的HTTP请求绕过验证,访问系统。
JBOSS在配置HTTP verbs时,访问控制的实现存在安全问题,导致如HEAD,PUT或DELETE等未在配置文件中允许的verb能够直接以jbossadmin身份调用GET处理器, 从而绕过认证。
阅读全文...
姓名:Chinadu
近期评论