Java JMX Agent Insecure Configuration
high Nessus Plugin ID 118039
語系:
概要
遠端 Java JMX 代理程式未設定 SSL 用戶端和密碼驗證。說明
遠端主機上執行的 Java JMX 代理程式未設定 SSL 用戶端和密碼驗證。未經驗證的遠端攻擊者可連線至 JMX 代理程式,並監控和管理啟用代理程式的 Java 應用程式。此外,這個不安全的組態可允許攻擊者建立 javax.management.loading.MLet Mbean 並利用它從任意 URL 建立新的 MBean,至少在未安裝任何安全性管理員時。換句話說,攻擊者可在遠端 Java VM 之安全性內容下的遠端主機上,執行任意程式碼。解決方案
啟用 JMX 代理程式的 SSL 用戶端或密碼驗證。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 118039
檔案名稱: java_jmx_insecure.nasl
版本: 1.8
類型: remote
系列: Misc.
已發布: 2018/10/10
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
CVSS 評分論據: Unauthenticated remote attacker may be able to achieve rce under the security context of the remote java vm.
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: manual
CVSS v3
風險因素: High
基本分數: 7.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
弱點資訊
CPE: cpe:/a:oracle:jre