Frans Henskens

**Nome do software vulnerável e versões afetadas** Versões do Apache TomEE de 1.0.0 a 1.7.5 Versões do Apache TomEE de 7.0.0-M1 a 7.0.8 Versões do Apache TomEE de 7.1.0 a 7.1.3 Versões do Apache TomEE de 8.0.0-M1 a 8.0.3 **Descrição** O problema ocorre quando o Apache TomEE é configurado para usar o broker ActiveMQ incorporado com uma configuração incorreta do broker, resultando na abertura de uma porta JMX na porta TCP 1099 sem autenticação. Trata-se de um caso extremo que não foi abordado por uma correção anterior. **Recomendações** Para as versões 1.0.0 a 1.7.5 do Apache TomEE, considere desativar a interface de gerenciamento JMX até que uma correção adequada seja aplicada. Para as versões 7.0.0-M1 a 7.0.8 do Apache TomEE, restrinja o acesso à porta JMX na porta TCP 1099 para minimizar o risco de exploração. Para as versões 7.1.0 a 7.1.3 do Apache TomEE, evite usar o broker ActiveMQ incorporado com uma configuração incorreta até que o problema seja resolvido. Para as versões 8.0.0-M1 a 8.0.3 do Apache TomEE, como solução alternativa temporária, considere desativar o broker ActiveMQ incorporado até que um patch esteja disponível.