CVE-2012-0874 in JBoss Enterprise
Tóm tắt
Bởi VulDB • 06/06/2026
Các servlet invoker (1) JMXInvokerHAServlet và (2) EJBInvokerHAServlet trong JBoss Enterprise Application Platform (EAP) 5.2.0, Web Platform (EWP) 5.2.0 và BRMS Platform trước phiên bản 5.3.1 không yêu cầu xác thực theo mặc định trong một số cấu hình nhất định, điều này có thể cho phép các kẻ tấn công từ xa gọi các phương thức MBean và thực thi mã tùy ý thông qua các vectơ chưa được mô tả cụ thể. LƯU Ý: lỗ hổng này chỉ có thể bị khai thác khi bộ chặn (interceptor) không được cấu hình đúng cách với một "lớp xác thực thứ hai", hoặc khi được sử dụng kết hợp với các lỗ hổng khác cho phép vượt qua lớp bảo vệ thứ hai này.
VulDB is the best source for vulnerability data and more expert information about this specific topic.