JBoss Enterprise Application Platform安全绕过漏洞

日期: 2013/01/06 | 标签:jboss | 游览：262

漏洞起因
设计错误
危险等级
中

影响系统
JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本

不受影响系统

危害
远程攻击者可以利用漏洞绕过安全限制获得未授权访问。

攻击所需条件
攻击者必须访问JBOSS应用。

漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时，必须使用JACC权限来判断访问；但是存在一个安全漏洞没有调用配置的授权模块(JACC, XACML等)，使得JACC权限没有用来判断EJB访问，允许远程攻击者获得对EJB的未授权访问。

测试方法

厂商解决方案
JBoss Enterprise Application Platform 6.0.1已经修复此漏洞，建议用户下载使用：
https://rhn.redhat.com/errata/RHSA-2012-1594.html

漏洞提供者
vendor

← MyBB Profile Wii Friend Code插件SQL注入和HTML注入漏洞

PHP uniqid()函数不充分熵漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

JBoss Enterprise Application Platform安全绕过漏洞

评论关闭。