Описание
If Apache TomEE is configured to use the embedded ActiveMQ broker, and the broker URI includes the useJMX=true parameter, a JMX port is opened on TCP port 1099, which does not include authentication. This affects Apache TomEE 8.0.0-M1 - 8.0.1, Apache TomEE 7.1.0 - 7.1.2, Apache TomEE 7.0.0-M1 - 7.0.7, Apache TomEE 1.0.0 - 1.7.5.
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 1.0.0 (включая) до 1.7.5 (включая)Версия от 7.0.0 (включая) до 7.0.7 (включая)Версия от 7.1.0 (включая) до 7.1.2 (включая)Версия от 8.0.0 (включая) до 8.0.1 (включая)
Одно из
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:7.0.0:m1:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:7.0.0:m2:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:7.0.0:m3:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:8.0.0:m1:*:*:*:*:*:*
EPSS
Процентиль: 78%
0.01111
Низкий
9.8 Critical
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-306
Связанные уязвимости
CVSS3: 9.8
github
почти 4 года назад
Missing Authentication for Critical Function in Apache TomEE
CVSS3: 9.8
fstec
больше 5 лет назад
Уязвимость сервера приложений Apache TomEE, связанная с ошибками аутентификации, позволяющая нарушителю повысить свои привилегии, выполнить произвольный код или вызвать отказ в обслуживании
EPSS
Процентиль: 78%
0.01111
Низкий
9.8 Critical
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-306