CVE-2020-11980

Versões do Apache Karaf anteriores à 4.2.9

O problema diz respeito à autenticação e autorização JMX no Karaf, onde um usuário com a função de “visualizador” pode invocar certos métodos, levando potencialmente a um ataque do tipo SSRF e à escalada de privilégios por meio da contaminação do registro MBean. Por padrão, apenas um “administrador” pode invocar um MBean, mas a função de “visualizador” pode chamar métodos get*. Um invasor pode se autenticar como “viewer” e invocar o método MLet getMBeansFromURL, que busca um MBean de um servidor remoto e o registra no Karaf. Embora o ataque falhe devido à falta de permissão para invocar o MBean, ele ainda pode causar problemas. A vulnerabilidade pode ser mitigada adicionando uma ACL para limitar o acesso.

Atualize para o Apache Karaf 4.2.9 ou mais recente. Como solução temporária, considere adicionar uma ACL para limitar o acesso ao método getMBeansFromURL para funções de “visualizador”. Restrinja o acesso ao método MLet getMBeansFromURL para minimizar o risco de exploração.