CVE-2020-11969

**Nome do software vulnerável e versões afetadas:

Versões do Apache TomEE de 1.0.0 a 1.7.5

Versões do Apache TomEE de 7.0.0-M1 a 7.0.7

Versões do Apache TomEE de 7.1.0 a 7.1.2

Versões do Apache TomEE de 8.0.0-M1 a 8.0.1

Descrição:

O problema está relacionado a erros de autenticação no aplicativo do servidor Apache TomEE. A exploração dessa vulnerabilidade pode permitir que um invasor remoto eleve privilégios, execute código arbitrário ou cause uma negação de serviço. Se o Apache TomEE estiver configurado para usar o broker ActiveMQ incorporado e a URI do broker incluir o parâmetro useJMX=true, uma porta JMX é aberta na porta TCP 1099 sem autenticação.

Recomendações:

Para as versões 1.0.0 a 1.7.5 do Apache TomEE, considere desativar a porta JMX na porta TCP 1099 até que um patch esteja disponível.

Para as versões 7.0.0-M1 a 7.0.7 do Apache TomEE, restrinja o acesso ao broker ActiveMQ incorporado para minimizar o risco de exploração.

Para as versões 7.1.0 a 7.1.2 do Apache TomEE, evite usar o parâmetro useJMX=true na URI do broker até que o problema seja resolvido.

Para as versões 8.0.0-M1 a 8.0.1 do Apache TomEE, considere desativar temporariamente o broker ActiveMQ incorporado até que um patch esteja disponível.