漏洞起因
设计错误
影响系统
RedHat JBoss Enterprise Application Platform 4.3 EL5
RedHat JBoss Enterprise Application Platform 4.3 EL4
RedHat JBoss Enterprise Application Platform 4.3
RedHat JBoss Enterprise Application Platform 4.2 EL5
RedHat JBoss Enterprise Application Platform 4.2 EL4
RedHat JBoss Enterprise Application Platform 4.2
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问JBoss企业平台。
漏洞信息
JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
JBoss企业平台存在多个跨站脚本和信息泄漏问题:
CVE-2009-1380:
CNCVE ID:CNCVE-20091380
CNCVE-20092405
CNCVE-20093554
CNCVE-20091380
JMX控制台存在跨站脚本缺陷,攻击者利用这个缺陷可提供误导的数据给验证用户或者以验证用户浏览器上下文执行任意脚本代码。
CVE-2009-2405:
CNCVE ID:CNCVE-20091380
CNCVE-20092405
CNCVE-20093554
CNCVE-20091380
CNCVE-20092405
Swatej Kumar发现JBoss应用服务器WEB控制台存在跨站脚本攻击,攻击者利用这个缺陷可提供误导的数据给验证用户或者以验证用户浏览器上下文执行任意脚本代码。
CVE-2009-3554:
CNCVE ID:CNCVE-20091380
CNCVE-20092405
CNCVE-20093554
CNCVE-20091380
CNCVE-20092405
CNCVE-20093554
twiddle命令行客户端存在信息泄漏问题,JMX的密码会以明文方式记录到"twiddle.log"中。
测试方法
厂商解决方案
用户可联系供应商获得最新应用程序:
http://www.jboss.org/
漏洞提供者
Swatej Kumar and the vendor.
0 条评论。