JBoss Enterprise Application Platform CVE-2012-4549安全绕过漏洞

日期: 2012/12/30 | 标签:jboss | 游览：399

漏洞起因
设计错误
危险等级
中

影响系统
JBoss Enterprise Application Platform 6

不受影响系统

危害
远程攻击者可以利用漏洞绕过安全限制进行未授权操作。

攻击所需条件
攻击者必须访问JBOSS应用。

漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
在不允许任何角色调用EJB方法时，需要拒绝所有用户的调用。当允许角色列表为空时，org.jboss.as.ejb3.security.AuthorizationInterceptor中的processInvocation()方法不正确授权方法调用，允许攻击者绕过安全限制执行未授权操作。

测试方法

厂商解决方案
JBoss Enterprise Application Platform 6.0.1已经修复此漏洞，建议用户下载使用：
http://www.jboss.com/products/platforms/application/

漏洞提供者
Arun Neelicattu

← Drupal Core任意PHP代码执行漏洞

Joomla! Bit组件’controller’参数本地文件包含漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

JBoss Enterprise Application Platform CVE-2012-4549安全绕过漏洞

评论关闭。