JBoss Enterprise Application Platform安全绕过漏洞

漏洞版本:

JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本

漏洞描述:

CVE ID:CVE-2012-4550

JBOSS是一个基于J2EE的开放源代码的应用服务器。

当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时，必须使用JACC权限来判断访问；但是存在一个安全漏洞没有调用配置的授权模块(JACC, XACML等)，使得JACC权限没有用来判断EJB访问，允许远程攻击者获得对EJB的未授权访问。