PT-2020-13787 · Apache · Apache Tomee
Frans Henskens
·
Publicado
2020-12-17
·
Atualizado
2022-02-09
·
CVE-2020-13931
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache TomEE de 1.0.0 a 1.7.5
Versões do Apache TomEE de 7.0.0-M1 a 7.0.8
Versões do Apache TomEE de 7.1.0 a 7.1.3
Versões do Apache TomEE de 8.0.0-M1 a 8.0.3
Descrição
O problema ocorre quando o Apache TomEE é configurado para usar o broker ActiveMQ incorporado com uma configuração incorreta do broker, resultando na abertura de uma porta JMX na porta TCP 1099 sem autenticação. Trata-se de um caso extremo que não foi abordado por uma correção anterior.
Recomendações
Para as versões 1.0.0 a 1.7.5 do Apache TomEE, considere desativar a interface de gerenciamento JMX até que uma correção adequada seja aplicada.
Para as versões 7.0.0-M1 a 7.0.8 do Apache TomEE, restrinja o acesso à porta JMX na porta TCP 1099 para minimizar o risco de exploração.
Para as versões 7.1.0 a 7.1.3 do Apache TomEE, evite usar o broker ActiveMQ incorporado com uma configuração incorreta até que o problema seja resolvido.
Para as versões 8.0.0-M1 a 8.0.3 do Apache TomEE, como solução alternativa temporária, considere desativar o broker ActiveMQ incorporado até que um patch esteja disponível.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Tomee