CVE-2022-0866— Wildfly 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2022-0866 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
This is a concurrency issue that can result in the wrong caller principal being returned from the session context of an EJB that is configured with a RunAs principal. In particular, the org.jboss.as.ejb3.component.EJBComponent class has an incomingRunAsIdentity field. This field is used by the org.jboss.as.ejb3.security.RunAsPrincipalInterceptor to keep track of the current identity prior to switching to a new identity created using the RunAs principal. The exploit consist that the EJBComponent#incomingRunAsIdentity field is currently just a SecurityIdentity. This means in a concurrent environment, where multiple users are repeatedly invoking an EJB that is configured with a RunAs principal, it's possible for the wrong the caller principal to be returned from EJBComponent#getCallerPrincipal. Similarly, it's also possible for EJBComponent#isCallerInRole to return the wrong value. Both of these methods rely on incomingRunAsIdentity. Affects all versions of JBoss EAP from 7.1.0 and all versions of WildFly 11+ when Elytron is enabled.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
授权机制不正确
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Wildfly 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Wildfly是Wildfly的一款功能强大、模块化且轻量级的应用程序服务器。 WildFly 中存在安全漏洞,该漏洞源于当使用 Elytron Security 时,它会在某些高度并发的情况下返回错误的调用者主体。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| - | Wildfly | JBoss EAP from 7.1.0 and all versions of WildFly 11+ when Elytron is enabled. | - |
二、漏洞 CVE-2022-0866 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2022-0866 的情报信息
请登录查看更多情报信息。
CVE-2022-0866 厂商安全公告 (1)
- https://bugzilla.redhat.com/show_bug.cgi?id=2060929#c0x_refsource_MISC
同批安全公告 · n/a · 2022-05-10 · 共 65 条
| CVE-2022-28910 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-29328 | D-Link DAP-1330 缓冲区错误漏洞 | |
| CVE-2022-29591 | Tenda TX9 Pro 安全漏洞 | |
| CVE-2022-28110 | Hotel Management System SQL注入漏洞 | |
| CVE-2022-29329 | D-Link DAP-1330 缓冲区错误漏洞 | |
| CVE-2022-28905 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28908 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28907 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28909 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28911 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28906 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28913 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28912 | TOTOLINK N600R 操作系统命令注入漏洞 | |
| CVE-2022-28901 | D-Link DIR882 操作系统命令注入漏洞 | |
| CVE-2022-28895 | D-Link DIR882 操作系统命令注入漏洞 | |
| CVE-2022-28896 | D-Link DIR882 操作系统命令注入漏洞 | |
| CVE-2022-26987 | 多款产品缓冲区错误漏洞 | |
| CVE-2022-26988 | 多款产品缓冲区错误漏洞 | |
| CVE-2022-23676 | Avaya switches缓冲区错误漏洞 | |
| CVE-2022-23677 | Avaya switches 缓冲区错误漏洞 |
显示前 20 条,共 65 条。 查看全部 → →
IV. Related Vulnerabilities
V. Comments for CVE-2022-0866
暂无评论