nvd
Jboss
Уязвимости
13
Эксплуатируемые
0
Критический
0
Высокий
7
Топ продуктов
Топ уязвимостей
CVE-2007-1157Уязвимость межсайтовой подделки запросов (CSRF) в jmx-console/HtmlAdaptor в JBoss позволяет удаленным злоумышленникам выполнять привилегированные действия от имени администраторов через определенные операции MBean, что является другой уязвимостью, отличной от CVE-2006-3733.
CVE-2016-2094HTTPS NIO Connector позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление потоков), открыв сокет и не отправив подтверждение SSL, также известное как уязвимость read-timeout.
CVE-2007-6433Метод getRenderedEjbql в классе org.jboss.seam.framework.Query в JBoss Seam 2.x до 2.0.0.CR3 позволяет удаленным злоумышленникам внедрять и выполнять произвольные команды EJBQL через параметр order.
CVE-2007-1036Конфигурация JBoss по умолчанию не ограничивает доступ к интерфейсам (1) консоли и (2) веб-управления, что позволяет удаленным злоумышленникам обходить аутентификацию и получать административный доступ через прямые запросы.
CVE-2006-5750Уязвимость directory traversal в классе DeploymentFileRepository в JBoss Application Server (jbossas) 3.2.4 до 4.0.5 позволяет удаленным аутентифицированным пользователям читать или изменять произвольные файлы и, возможно, выполнять произвольный код через неуказанные векторы, связанные с консольным менеджером.
CVE-2005-2158Ошибка регрессии во встроенной HSQLDB в JBoss jBPM 2.0 позволяет удаленным злоумышленникам выполнять произвольные команды, повторное появление уязвимости, которая была первоначально идентифицирована как CVE-2003-0845.
CVE-2003-0845Неизвестная уязвимость в компоненте HSQLDB в JBoss 3.2.1 и 3.0.8 на платформах Java 1.4.x при работе в конфигурации по умолчанию позволяет удаленным злоумышленникам проводить несанкционированные действия и, возможно, выполнять произвольный код через определенные SQL-операторы к (1) TCP-порту 1701 в JBoss 3.2.1 и (2) порту 1476 в JBoss 3.0.8.
CVE-2007-1354Функциональность контроля доступа (JMXOpsAccessControlFilter) в JMX Console в JBoss Application Server 4.0.2 и 4.0.5 до 20070416 использует переменную-член для хранения ролей текущего пользователя, что позволяет удаленным аутентифицированным администраторам вызывать состояние гонки и получать привилегии, входя в систему во время сеанса администратора с более высокими привилегиями, как показано на примере повышения привилегий из режима чтения в режим записи.
CVE-2014-0170Teiid до 8.4.3 и до 8.7 и Red Hat JBoss Data Virtualization 6.0.0 до патча 3 позволяет удаленным злоумышленникам читать произвольные файлы через специально созданный запрос к конечной точке REST, связанный с проблемой XML External Entity (XXE).
CVE-2008-3273JBoss Enterprise Application Platform (aka JBossEAP или EAP) до 4.2.0.CP03 и 4.3.0 до 4.3.0.CP01 позволяет удаленным злоумышленникам получать конфиденциальную информацию о "развернутых веб-контекстах" через запрос к сервлету состояния, как продемонстрировано строкой запроса full=true.
CVE-2005-2006JBOSS 3.2.2 до 3.2.7 и 4.0.2 позволяет удаленным злоумышленникам получать конфиденциальную информацию через GET-запрос (1) с "%." (процентная точка), который раскрывает путь установки, или (2) с % (процент) перед именем файла, который раскрывает содержимое файла.
CVE-2018-1041Обнаружена уязвимость в том, как RemoteMessageChannel, представленный в jboss-remoting версий 3.3.10, читает из пустого буфера. Злоумышленник может использовать этот недостаток для вызова отказа в обслуживании из-за высокой загрузки ЦП, вызванной бесконечным циклом.
CVE-2012-3428Контейнер IronJacamar до версии 1.0.12.Final для JBoss Application Server, когда allow-multiple-users включен в сочетании с доменом безопасности, не использует учетные данные, предоставленные в вызове функции getConnection, что позволяет удаленным злоумышленникам получить доступ к произвольному подключению к источнику данных при благоприятных обстоятельствах через недопустимую попытку подключения.