CVE-2010-1428
CVE-2010-1428
Em resumo
O Console Web do JBoss não protege informações sensíveis contra requisições que usam métodos HTTP diferentes de GET e POST, permitindo que atacantes contornem os controles de segurança e acessem dados restritos.
Detalhe técnico
O Console Web no JBoss EAP versões 4.2 e 4.3 implementa controle de acesso apenas para os métodos HTTP GET e POST, deixando outros métodos (como HEAD, OPTIONS, TRACE) desprotegidos. Um atacante remoto não autenticado pode explorar essa validação incompleta de métodos para recuperar informações sensíveis através de requisições com verbos HTTP alternativos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Web Console (aka web-console) in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP or JBEAP) 4.2 before 4.2.0.CP09 and 4.3 before 4.3.0.CP08 performs access control only for the GET and POST methods, which allows remote attackers to obtain sensitive information via an unspecified request that uses a different method.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://marc.info/?l=bugtraq&m=132698550418872&w=2https://bugzilla.redhat.com/show_bug.cgi?id=585899http://secunia.com/advisories/39563http://securitytracker.com/id?1023917https://exchange.xforce.ibmcloud.com/vulnerabilities/58148https://rhn.redhat.com/errata/RHSA-2010-0376.htmlhttps://rhn.redhat.com/errata/RHSA-2010-0377.htmlhttps://rhn.redhat.com/errata/RHSA-2010-0378.htmlhttps://rhn.redhat.com/errata/RHSA-2010-0379.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-1428http://www.securityfocus.com/bid/39710http://www.vupen.com/english/advisories/2010/0992