Org.wildfly.core:wildfly-server: wildfly improper rbac permission 漏洞信息(CVE-2025-23367)

一、漏洞 CVE-2025-23367 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Org.wildfly.core:wildfly-server: WildFly RBAC权限配置不当漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在Wildfly Server的角色基础访问控制(RBAC)提供程序中发现了一个漏洞。当使用角色基础访问控制提供程序来保护对管理操作的授权时，没有所需权限的用户可以暂停或恢复服务器。具有监控或审计角色的用户应仅具有读取访问权限，不应能够暂停服务器。该漏洞是由暂停和恢复处理程序未执行授权检查来验证当前用户是否具有执行操作所需权限引起的。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

授权机制缺失

来源：AIGC 神龙大模型

漏洞标题

Org.wildfly.core:wildfly-server: wildfly improper rbac permission

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was found in the Wildfly Server Role Based Access Control (RBAC) provider. When authorization to control management operations is secured using the Role Based Access Control provider, a user without the required privileges can suspend or resume the server. A user with a Monitor or Auditor role is supposed to have only read access permissions and should not be able to suspend the server. The vulnerability is caused by the Suspend and Resume handlers not performing authorization checks to validate whether the current user has the required permissions to proceed with the action.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

访问控制不恰当

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-23367 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-23367 的情报信息

标题： CVE-2025-23367 - Red Hat Customer Portal -- 🔗来源链接

标签： vdb-entry x_refsource_REDHAT
标题： WildFly improper RBAC permission · CVE-2025-23367 · GitHub Advisory Database · GitHub -- 🔗来源链接

标签：
标题： 2337620 – (CVE-2025-23367) CVE-2025-23367 org.wildfly.core:wildfly-server: Wildfly improper RBAC permission -- 🔗来源链接

标签： issue-tracking x_refsource_REDHAT
https://nvd.nist.gov/vuln/detail/CVE-2025-23367

一、 漏洞 CVE-2025-23367 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-23367 的公开POC

三、漏洞 CVE-2025-23367 的情报信息

一、漏洞 CVE-2025-23367 基础信息