Java JMX Agent Insecure Configuration
Descripción: En esta vulnerabilidad se configura un agente Java JMX ejecutandose sobre el host remoto sin autenticación de cliente y contraseña SSL, sin necesidad de autenticarse el atacante remoto puede conectarse al agente JMX para administrar y monitorear la aplicacion Java que ha habilitado.
Además, esta configuración insegura podría permitir al atacante crear un MBean javax.management.loading.MLet y utilízarlo para crear nuevos MBeans de URLs arbitrarias, al menos si no hay un control de seguridad . En otras palabras, el atacante podría ejecutar código arbitrario en el host remoto bajo el contexto de seguridad de Java VM.
CVE:N/A
Factor de Riesgo: Alto
Valor CVSS Base: 7.5
Solución: Habilitar la autenticación de contraseña o cliente SSL para el agente JMX.
Referencias:
https://www.tenable.com/plugins/nessus/118039
No Comment
You can post first response comment.