JBoss AS Administration跨站请求伪造漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Red Hat JBoss Application Server 7.02
Red Hat JBoss Application Server 7.0

不受影响系统

危害
远程攻击者利用漏洞获得敏感信息。

攻击所需条件
攻击者必须构建恶意URI,诱使合法Red Hat JBoss Application Server用户访问。

漏洞信息
JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
JBoss应用服务器没有正确限制(没有指定有效的合法URIs)对控制台信息的访问(通过”Access-Control-Allow-Origin” HTTP访问控制标记),远程攻击者可以提交特制的WEB页,诱使合法JBoss应用服务器用户访问,可未授权泄露信息。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://issues.jboss.org/browse/AS7-2400

漏洞提供者
David Black

发表评论?

0 条评论。

发表评论