Trusted Design

CVE-2010-1428 の詳細

CVEの情報

説明:
The Web Console (aka web-console) in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP or JBEAP) 4.2 before 4.2.0.CP09 and 4.3 before 4.3.0.CP08 performs access control only for the GET and POST methods, which allows remote attackers to obtain sensitive information via an unspecified request that uses a different method.

CVE更新日: 2010-04-28 22:30:00.793000

CVSSバージョン: 3.1

CVSSスコア: 7.5

KEVの情報

KEV更新日: 2022-05-25

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.676110000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2010-1428について、以下の観点で解説します。

1. 脆弱性の概要

Red Hat JBoss Enterprise Application Platform (JBoss EAP) のWeb Console (web-console) に情報漏えいおよび認証回避の脆弱性が存在します。攻撃者は、GETまたはPOSTメソッドを使用しないHTTPリクエストを送信することで、認証を必要としないデフォルトのハンドラによって処理させ、機密情報を取得したり、認証を回避して不正な操作を実行したりする可能性があります。

1.1 影響

リモートの攻撃者が機密情報を取得したり、認証を迂回して不正な操作を実行したりする可能性があります。 Check Point社の情報によると、本脆弱性が悪用された場合、リモート攻撃者が機微な情報を取得できる可能性があります。

1.2 深刻度

NVD (National Vulnerability Database) では、このCVEレコードはリソースやその他の懸念によりNVDエンリッチメントの優先順位付けがされておらず、CVSSスコアは提供されていません。 しかし、情報漏えいおよび認証回避の可能性を考慮すると、その影響は無視できないものと考えられます。

2. 対象となる環境

2.1 影響を受けるOSバージョン

本脆弱性は、特定のOSバージョンではなく、JBoss Enterprise Application Platformのバージョンに依存します。 影響を受けるバージョンは以下の通りです。

  • Red Hat JBoss Enterprise Application Platform (JBoss EAP) 4.2.0.CP09より前のバージョン
  • Red Hat JBoss Enterprise Application Platform (JBoss EAP) 4.3.0.CP08より前のバージョン

2.2 影響を受ける設定

JBossAsのWeb Console (web-console) が影響を受けます。具体的には、JMXコンソールの設定において、GETおよびPOST HTTPメソッドを使用するリクエストのみに認証要件が指定されており、GETまたはPOSTを指定しないHTTPリクエストが、認証を必要としないデフォルトのハンドラによって処理されることが原因です。

3. 影響を受けた時の兆候

直接的なシステムレベルでの兆候については、詳細な情報は不足していますが、Check Pointの保護ログには「Attack Name: Web Server Enforcement Violation」という情報が含まれる可能性があります。 その他、不正な情報へのアクセス、不審なログ記録、またはWebコンソールからの予期しない応答などが考えられますが、詳細については不明です。

4. 推奨対策

4.1 本対策

影響を受けるJBoss Enterprise Application Platformを以下のバージョン以降にアップデートしてください。

  • JBoss EAP 4.2: 4.2.0.CP09 以降
  • JBoss EAP 4.3: 4.3.0.CP08 以降

4.2 暫定回避策(緩和策)

  • JMXコンソールの設定強化: GETおよびPOST以外のHTTPメソッドに対しても認証が強制されるようにJMXコンソールの設定を見直してください。
  • IPSによる保護: 侵入防止システム (IPS) を導入している場合、「Red Hat JBoss Enterprise Application Platform Information Disclosure (CVE-2010-1428)」のような保護機能を有効にすることで、一時的な緩和策となる可能性があります。
  • Web Consoleの無効化: Web Consoleが不要な場合は、無効化することで攻撃対象領域を減らすことができます。 (直接的な情報なし)

参照したサイト

その他に解説すべき観点

不明点は特にありません。

NVDサイト

NVDでCVEの詳細を見る

戻る