| Summary | The JBoss Server in JBoss Enterprise Application Platform 5.1.x before 5.1.2 and 5.2.x before 5.2.2, Web Platform before 5.1.2, BRMS Platform before 5.3.0, and SOA Platform before 5.3.0, when the server is configured to use the JaccAuthorizationRealm and the ignoreBaseDecision property is set to true on the JBossWebRealm, does not properly check the permissions created by the WebPermissionMapping class, which allows remote authenticated users to access arbitrary applications. |
|---|---|
| Publication Date | Nov. 24, 2012, 5:55 a.m. |
| Registration Date | Jan. 28, 2021, 2:55 p.m. |
| Last Update | Nov. 21, 2024, 10:36 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 4.6 |
|---|---|
| Vector | AV:N/AC:H/Au:S/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.0:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.1:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:*:*:*:*:*:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:*:*:*:*:*:*:*:* | 5.2.0 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:*:*:*:*:*:*:*:* | 5.2.0 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.0:*:*:*:*:*:*:* | |||||
| Title | 複数の JBoss Enterprise 製品における任意のアプリケーションにアクセスされる脆弱性 |
|---|---|
| Summary | 複数の JBoss Enterprise の JBoss Server は、JaccAuthorizationRealm を使用するよう構成され、かつ JBossWebRealm で ignoreBaseDecision プロパティが true に設定されている場合、WebPermissionMapping クラスによって作成されたパーミッションを適切にチェックしないため、任意のアプリケーションにアクセスされる脆弱性が存在します。 |
| Possible impacts | リモート認証されたユーザにより、任意のアプリケーションにアクセスされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 19, 2012, midnight |
| Registration Date | Nov. 27, 2012, 8:10 p.m. |
| Last Update | Nov. 27, 2012, 8:10 p.m. |
| レッドハット |
| JBoss Enterprise Application Platform 5.1.2 |
| JBoss Enterprise Application Platform 5.2.2 未満の 5.2.x |
| JBoss Enterprise Web Platform 5.1.2 |
| Red Hat JBoss BRMS 5.3.0 未満 |
| Red Hat JBoss Portal 5.2.2 |
| Red Hat JBoss SOA Platform 5.3.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年11月27日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |