← volver
CVE-2010-0738

CVE-2010-0738

CVSS 5.3 MEDIUMEPSS 79.4%● KEVCWE-749
En resumen

La aplicación JMX-Console en JBoss solo protege las solicitudes GET y POST, permitiendo que los atacantes usen otros métodos HTTP para eludir el control de acceso y acceder a funciones protegidas.

Detalle técnico

La aplicación JMX-Console implementa verificación de acceso solo para los métodos HTTP GET y POST (CWE-749). Un atacante puede eludir estas restricciones enviando solicitudes con métodos alternativos (como PUT, DELETE, HEAD u OPTIONS) para acceder a los mismos recursos, potencialmente causando cambios no autorizados en la configuración o exposición de información.

Resumen generado y traducido por IA a partir de la descripción oficial.
The JMX-Console web application in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP or JBEAP) 4.2 before 4.2.0.CP09 and 4.3 before 4.3.0.CP08 performs access control only for the GET and POST methods, which allows remote attackers to send requests to this application's GET handler by using a different method.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas6
githubgithub.com/gitcollect/jboss-autopwn1githubgithub.com/1872892142/jboss-autopwn-10exploitdbwww.exploit-db.com/exploits/17924no verificadoexploitdbwww.exploit-db.com/exploits/16274no verificadoexploitdbwww.exploit-db.com/exploits/16316no verificadoexploitdbwww.exploit-db.com/exploits/16319no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://marc.info/?l=bugtraq&m=132129312609324&w=2http://public.support.unisys.com/common/public/vulnerability/NVD_Detail_Rpt.aspx?ID=35https://bugzilla.redhat.com/show_bug.cgi?id=574105http://secunia.com/advisories/39563http://securityreason.com/securityalert/8408http://securitytracker.com/id?1023918https://exchange.xforce.ibmcloud.com/vulnerabilities/58147https://rhn.redhat.com/errata/RHSA-2010-0376.htmlhttps://rhn.redhat.com/errata/RHSA-2010-0377.htmlhttps://rhn.redhat.com/errata/RHSA-2010-0378.htmlhttps://rhn.redhat.com/errata/RHSA-2010-0379.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0738