Java JMX Agent Insecure Configuration

Descripción:  En esta vulnerabilidad se configura un agente Java JMX ejecutandose  sobre el host remoto sin autenticación de cliente y contraseña SSL, sin necesidad de autenticarse el atacante remoto puede conectarse al agente JMX para administrar y monitorear la aplicacion Java que ha habilitado.

Además, esta configuración insegura podría permitir al atacante crear un MBean javax.management.loading.MLet y utilízarlo para crear nuevos MBeans de URLs arbitrarias, al menos si no hay un control de seguridad . En otras palabras, el atacante podría ejecutar código arbitrario en el host remoto bajo el contexto de seguridad de Java VM.

CVE:N/A
Factor de Riesgo: Alto
Valor CVSS Base: 7.5

Solución: Habilitar la autenticación de contraseña o cliente SSL para el agente JMX.

Referencias:

https://www.tenable.com/plugins/nessus/118039

https://www.ibm.com/support/knowledgecenter/es/SSYMRC_5.0.1/com.ibm.jazz.repository.web.admin.doc/topics/t_server_mon_tomcat_option3.html