JBoss Enterprise Application Platform安全绕过漏洞

漏洞版本:

JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本

漏洞描述:

CVE ID:CVE-2012-4550

JBOSS是一个基于J2EE的开放源代码的应用服务器。

当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时，必须使用JACC权限来判断访问；但是存在一个安全漏洞没有调用配置的授权模块(JACC, XACML等)，使得JACC权限没有用来判断EJB访问，允许远程攻击者获得对EJB的未授权访问。

<* 参考

https://bugzilla.redhat.com/show_bug.cgi?id=870871
http://secunia.com/advisories/51607
http://rhn.redhat.com/errata/RHSA-2012-1592.html
http://rhn.redhat.com/errata/RHSA-2012-1591.html

posted @ 2013-01-05 23:25 夏虫xm 阅读(387) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

漏洞信息库

JBoss Enterprise Application Platform安全绕过漏洞

漏洞版本:

漏洞描述:

公告