Описание
If Apache TomEE 8.0.0-M1 - 8.0.3, 7.1.0 - 7.1.3, 7.0.0-M1 - 7.0.8, 1.0.0 - 1.7.5 is configured to use the embedded ActiveMQ broker, and the broker config is misconfigured, a JMX port is opened on TCP port 1099, which does not include authentication. CVE-2020-11969 previously addressed the creation of the JMX management interface, however the incomplete fix did not cover this edge case.
Ссылки
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 1.0.0 (включая) до 1.7.5 (включая)Версия от 7.0.0 (включая) до 7.0.8 (включая)Версия от 7.1.0 (включая) до 7.1.3 (включая)Версия от 8.0.0 (включая) до 8.0.3 (включая)
Одно из
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:7.0.0:m1:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:7.0.0:m2:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:7.0.0:m3:*:*:*:*:*:*
cpe:2.3:a:apache:tomee:8.0.0:m1:*:*:*:*:*:*
EPSS
Процентиль: 80%
0.01368
Низкий
9.8 Critical
CVSS3
6.8 Medium
CVSS2
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
EPSS
Процентиль: 80%
0.01368
Низкий
9.8 Critical
CVSS3
6.8 Medium
CVSS2
Дефекты
NVD-CWE-noinfo