JBoss Enterprise Application Platform におけるアクセス制限を回避される脆弱性
| Title |
JBoss Enterprise Application Platform におけるアクセス制限を回避される脆弱性
|
| Summary |
JBoss Enterprise Application Platform の org.jboss.as.ejb3.security.AuthorizationInterceptor 内の processInvocation 関数には、Enterprise Java Beans (EJB) メソッドの呼び出しに対して、役割が割り当てられていない場合、全てのリクエストを承認するため、EJB メソッドへのアクセス制限を回避される脆弱性が存在します。
|
| Possible impacts |
攻撃者により、EJB メソッドへのアクセス制限を回避される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 18, 2012, midnight |
| Registration Date |
Jan. 8, 2013, 4:38 p.m. |
| Last Update |
Jan. 8, 2013, 4:38 p.m. |
|
CVSS2.0 : 警告
|
| Score |
5.8
|
| Vector |
AV:N/AC:M/Au:N/C:P/I:P/A:N |
Affected System
| レッドハット |
|
JBoss Enterprise Application Platform 6.0.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2013年01月08日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2012-4549
| Summary |
The processInvocation function in org.jboss.as.ejb3.security.AuthorizationInterceptor in JBoss Enterprise Application Platform (aka JBoss EAP or JBEAP) before 6.0.1, authorizes all requests when no roles are allowed for an Enterprise Java Beans (EJB) method invocation, which allows attackers to bypass intended access restrictions for EJB methods.
|
| Publication Date |
Jan. 5, 2013, 9:55 a.m. |
| Registration Date |
Jan. 28, 2021, 3:03 p.m. |
| Last Update |
Nov. 21, 2024, 10:43 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.2.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:*:*:*:*:*:*:*:* |
|
6.0.0 |
|
|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.0:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List