一、 漏洞 CVE-2018-10682 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
**争议** 在WildFly 10.1.2.Final中发现了一个问题。攻击者可以在不需要任何身份验证的情况下,使用自动创建的“匿名”访问来访问TCP端口9990的管理员面板。一旦登录,默认的配置文件(auto-deployment)允许匿名用户部署恶意的.war文件,导致远程代码执行。注意:供应商表示,默认安装中匿名访问是不可取的;然而,它仍然是可选的,因为它有多项使用场景,包括开发环境和网络架构,设有代理服务器来控制对WildFly服务器的访问。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in WildFly 10.1.2.Final. It is possible for an attacker to access the administration panel on TCP port 9990 without any authentication using "anonymous" access that is automatically created. Once logged in, a misconfiguration present by default (auto-deployment) permits an anonymous user to deploy a malicious .war file, leading to remote code execution. NOTE: the vendor indicates that anonymous access is not available in the default installation; however, it remains optional because there are several use cases for it, including development environments and network architectures that have a proxy server for access control to the WildFly server
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat Wildfly 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat Wildfly(前称JBoss Application Server)是美国红帽(Red Hat)公司的一款基于JavaEE的开源应用服务器。 Red Hat WildFly 10.1.2.Final版本中存在安全漏洞。远程攻击者可利用该漏洞访问TCP 9990端口上的管理面板,部署恶意的.war文件,执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-10682 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2018-10682 的情报信息