Уязвимости в JBoss Application Server

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Information Leakage и Brute Force уязвимостях в JBoss Application Server.

Information Leakage (WASC-13):

http://site/status
http://site/status?full=true

Публично доступная статистика работы сервера с перечнем всех его сервисов.

Brute Force (WASC-11):

http://site/jmx-console/
http://site/web-console/
http://site/admin-console/ (начиная с версии 5.1.0)
http://site/jbossws/ (встречаются серверы, где на данный ресурс пароль не установлен)

И другие приватные ресурсы с BF уязвимостью (которые, как и вышеуказанные ресурсы, кроме Admin Console, спрятаны за Basic Authentication). Список всех ресурсов конкретного сервера можно увидеть на странице status?full=true.

Уязвимы JBoss 3.2.7, JBoss 4.0.5.GA, JBoss 5.0 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5196/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua