Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : JBoss AS, Cross Site Request Forgery de JMX Console

juin 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque l’administrateur est connecté sur la JMX Console de JBoss
AS, un attaquant peut l’inviter à consulter une page web, afin
d’automatiquement déployer un fichier WAR via le MBean
DeploymentFileRepository.

 Gravité : 2/4
 Date création : 16/06/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La JMX Console de JBoss Application Server est utilisée pour
administrer le site.

Le MBean DeploymentFileRepository permet de facilement déployer
une application WAR sur le site.

La page http://serveur:8080/jmxconsole/HtmlAdaptor permet
d’appeler directement DeploymentFileRepository, sans confirmation,
pour déployer une application illicite.

Lorsque l’administrateur est connecté sur la JMX Console de JBoss
AS, un attaquant peut donc l’inviter à consulter une page web
contenant une image vers HtmlAdaptor, afin d’automatiquement
déployer un fichier WAR via le MBean DeploymentFileRepository.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/JBoss-AS-Cross-Site-Request-Forgery-de-JMX-Console-9711


Voir les articles précédents

    

Voir les articles suivants