CVE-2020-1954

Опубликовано: 01 апр. 2020

Источник: redhat

CVSS3: 5.3

EPSS Низкий

Описание

Apache CXF has the ability to integrate with JMX by registering an InstrumentationManager extension with the CXF bus. If the ‘createMBServerConnectorFactory‘ property of the default InstrumentationManagerImpl is not disabled, then it is vulnerable to a man-in-the-middle (MITM) style attack. An attacker on the same host can connect to the registry and rebind the entry to another server, thus acting as a proxy to the original. They are then able to gain access to all of the information that is sent and received over JMX.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat BPM Suite 6	cxf	Out of support scope
Red Hat BPM Suite 6	cxf-core	Out of support scope
Red Hat Fuse 7	cxf-core	Affected
Red Hat JBoss BRMS 6	cxf	Out of support scope
Red Hat JBoss BRMS 6	cxf-core	Out of support scope
Red Hat JBoss Fuse 6	cxf-core	Out of support scope
Red Hat OpenShift Application Runtimes	cxf-core	Affected
Red Hat support for Spring Boot	cxf-core	Affected
EAP 7.3.3	cxf-core	Fixed	RHSA-2020:4247	13.10.2020
EAP-CD 20 Tech Preview	cxf-core	Fixed	RHSA-2020:3585	31.08.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-200

https://bugzilla.redhat.com/show_bug.cgi?id=1824301cxf: JMX integration is vulnerable to a MITM attack

EPSS

Процентиль: 44%

0.00216

Низкий

5.3 Medium

CVSS3

Связанные уязвимости

CVE-2020-1954

CVSS3: 5.3

nvd

почти 6 лет назад

GHSA-ffm7-7r8g-77xm

CVSS3: 5.3

github

почти 4 года назад

Apache CXF JMX Integration is vulnerable to a MITM attack

BDU:2020-05180

CVSS3: 5.3

fstec

почти 6 лет назад

Уязвимость каркаса для веб-сервисов Apache CXF, связанная с ошибками при установлении соединения, позволяющая нарушителю получить несанкционрованный доступ к защищаемой информации

EPSS

Процентиль: 44%

0.00216

Низкий

5.3 Medium

CVSS3