JBoss Enterprise SOA平台Servlet调用器验证绕过漏洞

2011-11-18T00:00:00
ID SSV:23217
Type seebug
Reporter Root
Modified 2011-11-18T00:00:00

Description

Bugtraq ID: 50720 CVE ID:CVE-2011-4085

JBoss Enterprise SOA Platform是一款企业级服务导向架构平台。 通过httpha-invoker部署的Servlet调用器,仅对HTTP GET和POST方法执行了访问控制,允许远程攻击者通过其他不同的HTTP方法执行未验证请求。由于安全拦截器提供的第二层验证,此问题不能在默认安装上利用,除非管理员错误的配置了安全拦截器或禁用了它。

JBoss Enterprise SOA Platform < 5.2.0 厂商解决方案

JBoss Enterprise SOA Platform 5.2.0已经修复此漏洞,建议用户下载使用: http://www.jboss.org/