漏洞信息
# N/A
## 漏洞概述
Jboss Application Server 在 Red Hat Enterprise Application Platform 5.2 中,HTTP Invoker 的 ReadOnlyAccessFilter 的 doFilter 方法未限制需进行反序列化的类,从而使攻击者可通过精心制作的序列化数据执行任意代码。
## 影响版本
- Red Hat Enterprise Application Platform 5.2
## 漏洞细节
ReadOnlyAccessFilter 的 doFilter 方法在处理 HTTP Invoker 请求时,未能限制需要进行反序列化的类。这意味着攻击者可以通过向服务器发送精心制作的序列化数据来触发反序列化过程。这种反序列化操作可能允许攻击者执行任意代码。
## 影响
攻击者可以通过向应用发送特制的序列化数据,利用这一漏洞执行任意代码,导致远程代码执行,从而对系统造成严重威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
In Jboss Application Server as shipped with Red Hat Enterprise Application Platform 5.2, it was found that the doFilter method in the ReadOnlyAccessFilter of the HTTP Invoker does not restrict classes for which it performs deserialization and thus allowing an attacker to execute arbitrary code via crafted serialized data.
CVSS信息
N/A
漏洞类别
可信数据的反序列化
漏洞标题
Red Hat JBoss Enterprise Application Platform Jboss Application Server 安全漏洞
漏洞描述信息
Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。Jboss Application Server是其中的一款基于JavaEE的开源的应用服务器。 Red Hat Jboss EAP 5.0版本中附带的Jboss Application Server存在远程代码执行漏洞。远程攻击者可借助特制的序列化数据利用该漏洞在受影响应用程序上下文
CVSS信息
N/A
漏洞类别
授权问题