| タイトル | JBoss Enterprise Application Platform におけるアクセス制限を回避される脆弱性 |
|---|---|
| 概要 | JBoss Enterprise Application Platform の org.jboss.as.ejb3.security.AuthorizationInterceptor 内の processInvocation 関数には、Enterprise Java Beans (EJB) メソッドの呼び出しに対して、役割が割り当てられていない場合、全てのリクエストを承認するため、EJB メソッドへのアクセス制限を回避される脆弱性が存在します。 |
| 想定される影響 | 攻撃者により、EJB メソッドへのアクセス制限を回避される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2012年12月18日0:00 |
| 登録日 | 2013年1月8日16:38 |
| 最終更新日 | 2013年1月8日16:38 |
| CVSS2.0 : 警告 | |
| スコア | 5.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:N |
| レッドハット |
| JBoss Enterprise Application Platform 6.0.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年01月08日] 掲載 |
2018年2月17日10:37 |
| 概要 | The processInvocation function in org.jboss.as.ejb3.security.AuthorizationInterceptor in JBoss Enterprise Application Platform (aka JBoss EAP or JBEAP) before 6.0.1, authorizes all requests when no roles are allowed for an Enterprise Java Beans (EJB) method invocation, which allows attackers to bypass intended access restrictions for EJB methods. |
|---|---|
| 公表日 | 2013年1月5日9:55 |
| 登録日 | 2021年1月28日15:03 |
| 最終更新日 | 2024年11月21日10:43 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:*:*:*:*:*:*:*:* | 6.0.0 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.0:*:*:*:*:*:*:* | |||||