漏洞标题
N/A
漏洞描述信息
发现Red Hat JBoss Fuse 6.x和Red Hat JBoss A-MQ 6.x使用的Karf容器通过JMX操作接收的对象进行解压缩。如果目标MBean在其类路径中包含解压缩工具,攻击者可以利用此漏洞在服务器上执行远程代码,作为运行Java虚拟机的用户。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
It was found that the Karaf container used by Red Hat JBoss Fuse 6.x, and Red Hat JBoss A-MQ 6.x, deserializes objects passed to MBeans via JMX operations. An attacker could use this flaw to execute remote code on the server as the user running the Java Virtual Machine if the target MBean contain deserialization gadgets in its classpath.
CVSS信息
N/A
漏洞类别
可信数据的反序列化
漏洞标题
Red Hat JBoss Fuse和JBoss A-MQ 安全漏洞
漏洞描述信息
Red Hat JBoss Fuse和JBoss A-MQ都是美国红帽(Red Hat)公司的JBoss中间件中的产品。JBoss Fuse是一套开源的企业服务总线平台。JBoss A-MQ是一套开源的消息传递平台。 Red Hat JBoss Fuse 6.x版本和Red Hat JBoss A-MQ 6.x版本中存在远程代码执行漏洞,该漏洞源于Karaf容器反序列化了不可信的对象。远程攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码。
CVSS信息
N/A
漏洞类别
代码问题