Red Hat JBoss Information Disclosure Vulnerability — Unauthenticated access to the JBoss Application Server Web Console (/web-console) is blocked by default. However, it was found that this block was incomplete, and only blocked GET and POST HTTP verbs. A remote attacker could use this flaw to gain access to sensitive information.
Red Hat JBoss Application Server contains an authentication bypass vulnerability in the Web Console (/web-console) that allows unauthenticated remote attackers to access sensitive administrative information. The default security block only restricts GET and POST methods, enabling attackers to use alternative HTTP verbs to bypass authentication controls and gain unauthorized access to management interfaces.
تؤثر هذه الثغرة الأمنية الحرجة على خادم تطبيقات Red Hat JBoss حيث تم تطبيق آلية حماية غير كاملة على واجهة الإدارة الويب. بينما تم حظر الوصول غير المصادق للمسار /web-console باستخدام أفعال HTTP التقليدية GET و POST، فإن المهاجم يمكنه استخدام أفعال HTTP أخرى مثل HEAD أو OPTIONS أو PUT لتجاوز هذه القيود الأمنية. يؤدي هذا إلى كشف معلومات حساسة عن التطبيقات المنشورة، إعدادات الخادم، وبيانات اعتماد محتملة. تُصنف الثغرة بدرجة خطورة 9.0 مع وجود استغلالات عملية متاحة، مما يجعلها هدفاً سهلاً للمهاجمين الذين يسعون للحصول على موطئ قدم في البنية التحتية للتطبيقات.
يحتوي خادم تطبيقات Red Hat JBoss على ثغرة تجاوز المصادقة في واجهة الإدارة (/web-console) تسمح للمهاجمين عن بُعد بالوصول إلى معلومات إدارية حساسة دون مصادقة. الحماية الافتراضية تقيد فقط طرق GET و POST، مما يمكّن المهاجمين من استخدام أفعال HTTP بديلة لتجاوز ضوابط المصادقة والحصول على وصول غير مصرح به لواجهات الإدارة.
1. Immediately implement network-level access controls to restrict /web-console access to authorized IP addresses only using firewalls or web application firewalls, and configure comprehensive HTTP verb filtering to block all methods except explicitly required ones.
2. Upgrade Red Hat JBoss Application Server to the latest patched version that addresses CVE-2010-1428, or apply vendor-provided security patches and hotfixes while testing thoroughly in non-production environments before deployment.
3. Deploy additional authentication layers such as reverse proxy with strong authentication, implement network segmentation to isolate management interfaces, enable comprehensive logging for all web console access attempts, and conduct immediate security audits to identify any historical unauthorized access.
1. تطبيق ضوابط الوصول على مستوى الشبكة فوراً لتقييد الوصول إلى /web-console للعناوين المصرح بها فقط باستخدام جدران الحماية أو جدران حماية تطبيقات الويب، وتكوين تصفية شاملة لأفعال HTTP لحظر جميع الطرق باستثناء المطلوبة صراحةً.
2. ترقية خادم تطبيقات Red Hat JBoss إلى أحدث إصدار مُصحح يعالج CVE-2010-1428، أو تطبيق التصحيحات الأمنية والإصلاحات العاجلة المقدمة من المورّد مع الاختبار الشامل في بيئات غير إنتاجية قبل النشر.
3. نشر طبقات مصادقة إضافية مثل الوكيل العكسي مع مصادقة قوية، تطبيق تجزئة الشبكة لعزل واجهات الإدارة، تفعيل التسجيل الشامل لجميع محاولات الوصول لواجهة الإدارة، وإجراء تدقيق أمني فوري لتحديد أي وصول غير مصرح به سابق.