JBoss, získání citlivých informací

Byla oznámena zranitelnost v produktu JBoss dovolující vzdálenému uživateli určit cestu k instalaci JBossu, nebo získat obsah některých konfiguračních souborů. Na vině je nedostatečné ošetření vstupních dat ve třídě org.jboss.web.WebServer. Podmínkou ke zneužití zranitelnosti je přístup ke službě RMI class download service standardně běžící na portu 8083. Postiženy jsou verze 3.2.2 až 3.2.7 a 4.0.2. Bližší informace včetně příkladu zneužití zranitelnosti nabízí původní oznámení, jehož autorem je Marc Schoenefeld.