漏洞起因
输入验证错误
危险等级
低
影响系统
Red Hat JBoss Application Server 7.02
Red Hat JBoss Application Server 7.0
不受影响系统
危害
远程攻击者利用漏洞获得敏感信息。
攻击所需条件
攻击者必须构建恶意URI,诱使合法Red Hat JBoss Application Server用户访问。
漏洞信息
JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
JBoss应用服务器没有正确限制(没有指定有效的合法URIs)对控制台信息的访问(通过”Access-Control-Allow-Origin” HTTP访问控制标记),远程攻击者可以提交特制的WEB页,诱使合法JBoss应用服务器用户访问,可未授权泄露信息。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://issues.jboss.org/browse/AS7-2400
漏洞提供者
David Black
0 条评论。