Vulnerabilidad en JBoss EAP y WildFly 11+ (CVE-2022-0866)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/05/2022
Última modificación:
06/11/2025
Descripción
Esto es un problema de concurrencia que puede resultar en que sea devuelto el caller principal incorrecto desde el contexto de sesión de un EJB que está configurado con un principal RunAs. En particular, la clase org.jboss.as.ejb3.component.EJBComponent presenta un campo incomingRunAsIdentity. Este campo es usado por el org.jboss.as.ejb3.security.RunAsPrincipalInterceptor para mantener un registro de la identidad actual antes de cambiar a una nueva identidad creada usando el principal RunAs. La explotación consiste en que el campo EJBComponent#incomingRunAsIdentity es actualmente sólo un SecurityIdentity. Esto significa que en un entorno concurrente, en el que varios usuarios invocan repetidamente un EJB configurado con una entidad de seguridad RunAs, es posible que sea devuelta una entidad de seguridad incorrecta desde EJBComponent#getCallerPrincipal. Del mismo modo, también es posible que EJBComponent#isCallerInRole devuelva un valor incorrecto. Ambos métodos dependen de incomingRunAsIdentity. Afecta a todas las versiones de JBoss EAP a partir de la 7.1.0 y a todas las versiones de WildFly 11+ cuando Elytron está habilitado
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:*:*:*:*:*:*:*:* | 7.1.0 (incluyendo) | |
| cpe:2.3:a:redhat:openstack_platform:13.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:wildfly:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 26.1.1 (excluyendo) |
| cpe:2.3:a:redhat:wildfly:27.0.0:alpha1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página