CVE-2022-0866

Versões 7.1.0 e posteriores do JBoss EAP

Versões 11 e posteriores do WildFly quando o Elytron está habilitado

Este problema está relacionado a uma falha de concorrência que pode fazer com que um principal de chamador incorreto seja retornado do contexto de sessão de um EJB configurado com um principal RunAs. A classe org.jboss.as.ejb3.component.EJBComponent possui um campo incomingRunAsIdentity usado pelo org.jboss.as.ejb3.security.RunAsPrincipalInterceptor para rastrear a identidade atual antes de mudar para uma nova criada usando o principal RunAs. Em um ambiente concorrente com vários usuários invocando um EJB configurado com um principal RunAs, é possível que o principal de chamada incorreto seja retornado por EJBComponent#getCallerPrincipal ou que EJBComponent#isCallerInRole retorne o valor incorreto, já que ambos os métodos dependem de incomingRunAsIdentity.

Para as versões 7.1.0 e posteriores do JBoss EAP, considere desativar o componente de segurança Elytron até que um patch esteja disponível.

Para as versões 11 e posteriores do WildFly, quando o Elytron estiver ativado, restrinja o acesso a EJBs configurados com um principal RunAs para minimizar o risco de exploração.

Como solução alternativa temporária, considere desativar o org.jboss.as.ejb3.security.RunAsPrincipalInterceptor até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.