| タイトル | 複数の JBoss Enterprise 製品における認証を回避される脆弱性 |
|---|---|
| 概要 | 複数の JBoss Enterprise 製品の httpha-invoker により呼び出されるサーブレットは、GET および POST メソッドに対してのみアクセス制御を実行するため、認証を回避される脆弱性が存在します。 本脆弱性は、CVE-2010-0738 のリグレッションに起因する脆弱性です。 |
| 想定される影響 | 第三者により、GET および POST メソッドと異なるメソッドでリクエストを送信されることで、認証を回避される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2011年11月16日0:00 |
| 登録日 | 2012年11月27日20:06 |
| 最終更新日 | 2012年11月27日20:06 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| レッドハット |
| JBoss Enterprise Application Platform 5.1.2 未満 |
| Red Hat JBoss BRMS 5.3.0 未満 |
| Red Hat JBoss Portal 4.3 CP07 未満 |
| Red Hat JBoss SOA Platform 5.2.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年11月27日] 掲載 |
2018年2月17日10:37 |
| 概要 | The servlets invoked by httpha-invoker in JBoss Enterprise Application Platform before 5.1.2, SOA Platform before 5.2.0, BRMS Platform before 5.3.0, and Portal Platform before 4.3 CP07 perform access control only for the GET and POST methods, which allow remote attackers to bypass authentication by sending a request with a different method. NOTE: this vulnerability exists because of a CVE-2010-0738 regression. |
|---|---|
| 公表日 | 2012年11月24日5:55 |
| 登録日 | 2021年1月28日16:39 |
| 最終更新日 | 2024年11月21日10:31 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:*:*:*:*:*:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.0:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:tp02:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp02:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp01:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp05:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp04:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp04:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp01:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp03:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp05:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp03:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:*:*:*:*:*:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp02:*:*:*:*:*:* | |||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:*:*:*:*:*:*:*:* | 5.2.0 | ||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:*:*:*:*:*:*:*:* | 4.3.0 | ||||