漏洞起因
设计错误
危险等级
中
影响系统
JBoss Enterprise Application Platform 6
不受影响系统
危害
远程攻击者可以利用漏洞绕过安全限制进行未授权操作。
攻击所需条件
攻击者必须访问JBOSS应用。
漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
在不允许任何角色调用EJB方法时,需要拒绝所有用户的调用。当允许角色列表为空时,org.jboss.as.ejb3.security.AuthorizationInterceptor中的processInvocation()方法不正确授权方法调用,允许攻击者绕过安全限制执行未授权操作。
测试方法
厂商解决方案
JBoss Enterprise Application Platform 6.0.1已经修复此漏洞,建议用户下载使用:
http://www.jboss.com/products/platforms/application/
漏洞提供者
Arun Neelicattu
评论关闭。