| タイトル | JBoss Enterprise Application Platform で使用される Red Hat JBossWS における制限された JAX-WS ハンドラにアクセスされる脆弱性 |
|---|---|
| 概要 | JBoss Enterprise Application Platform (EAP) で使用される Red Hat JBossWS の EJB 呼び出しハンドラの実装は、アウトバウンドメッセージに対するメソッドレベルの制限を適切に適用しないため、他の制限された JAX-WS ハンドラにアクセスされる脆弱性が存在します。 本脆弱性は、CVE-2013-2133 に対する修正が不十分だったことによる脆弱性です。 |
| 想定される影響 | リモート認証されたユーザにより、EJB クラスのパーミッションを利用されることで、他の制限された JAX-WS ハンドラにアクセスされる可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2014年8月6日0:00 |
| 登録日 | 2014年8月21日14:14 |
| 最終更新日 | 2014年8月21日14:14 |
| CVSS2.0 : 警告 | |
| スコア | 5.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:P/I:P/A:N |
| レッドハット |
| JBoss Enterprise Application Platform 6 EL5 |
| JBoss Enterprise Application Platform 6 EL6 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年08月21日] 掲載 |
2018年2月17日10:37 |
| 概要 | The EJB invocation handler implementation in Red Hat JBossWS, as used in JBoss Enterprise Application Platform (EAP) 6.2.0 and 6.3.0, does not properly enforce the method level restrictions for outbound messages, which allows remote authenticated users to access otherwise restricted JAX-WS handlers by leveraging permissions to the EJB class. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-2133. |
|---|---|
| 公表日 | 2014年8月20日3:55 |
| 登録日 | 2021年1月26日15:10 |
| 最終更新日 | 2024年11月21日11:08 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.3.0:*:*:*:*:*:*:* | |||||