Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-1954

Опубликовано: 01 апр. 2020
Источник: nvd
CVSS3: 5.3
CVSS2: 2.9
EPSS Низкий

Описание

Apache CXF has the ability to integrate with JMX by registering an InstrumentationManager extension with the CXF bus. If the ‘createMBServerConnectorFactory‘ property of the default InstrumentationManagerImpl is not disabled, then it is vulnerable to a man-in-the-middle (MITM) style attack. An attacker on the same host can connect to the registry and rebind the entry to another server, thus acting as a proxy to the original. They are then able to gain access to all of the information that is sent and received over JMX.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:*
Версия до 3.2.13 (исключая)
cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:*
Версия от 3.3.0 (включая) до 3.3.6 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:oracle:communications_diameter_signaling_router:*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:communications_element_manager:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:communications_session_report_manager:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:enterprise_manager_base_platform:13.2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.56:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snapmanager:-:*:*:*:*:sap:*:*
Конфигурация 4

Одно из

cpe:2.3:a:oracle:communications_diameter_signaling_router_idih\::*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:communications_element_manager:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:communications_session_report_manager:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:communications_session_route_manager:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.2 (включая)
cpe:2.3:a:oracle:enterprise_manager_base_platform:13.2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.56:*:*:*:*:*:*:*

EPSS

Процентиль: 44%
0.00216
Низкий

5.3 Medium

CVSS3

2.9 Low

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

redhat логотип

CVE-2020-1954

CVSS3: 5.3
redhat
почти 6 лет назад

Apache CXF has the ability to integrate with JMX by registering an InstrumentationManager extension with the CXF bus. If the ‘createMBServerConnectorFactory‘ property of the default InstrumentationManagerImpl is not disabled, then it is vulnerable to a man-in-the-middle (MITM) style attack. An attacker on the same host can connect to the registry and rebind the entry to another server, thus acting as a proxy to the original. They are then able to gain access to all of the information that is sent and received over JMX.

github логотип

GHSA-ffm7-7r8g-77xm

CVSS3: 5.3
github
почти 4 года назад

Apache CXF JMX Integration is vulnerable to a MITM attack

fstec логотип

BDU:2020-05180

CVSS3: 5.3
fstec
почти 6 лет назад

Уязвимость каркаса для веб-сервисов Apache CXF, связанная с ошибками при установлении соединения, позволяющая нарушителю получить несанкционрованный доступ к защищаемой информации

EPSS

Процентиль: 44%
0.00216
Низкий

5.3 Medium

CVSS3

2.9 Low

CVSS2

Дефекты

NVD-CWE-noinfo