CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-5396 – JMX Insecure Default Configuration in GemFire
https://notcve.org/view.php?id=CVE-2020-5396
VMware GemFire versions prior to 9.10.0, 9.9.2, 9.8.7, and 9.7.6, and VMware Tanzu GemFire for VMs versions prior to 1.11.1 and 1.10.2, when deployed without a SecurityManager, contain a JMX service available which contains an insecure default configuration. This allows a malicious user to create an MLet mbean leading to remote code execution. VMware GemFire versiones anteriores a 9.10.0, 9.9.2, 9.8.7 y 9.7.6, y VMware Tanzu GemFire para Máquinas Virtuales versiones anteriores a 1.11.1 y 1.10.2, cuando es implementado sin un SecurityManager, contienen un servicio JMX disponible que contiene una configuración predeterminada no segura. Esto permite a un usuario malicioso crear un MLet mbean que conlleva a una ejecución de código remota • https://tanzu.vmware.com/security/cve-2020-5396 • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVSS: 9.1EPSS: 0%CPEs: 6EXPL: 0CVE-2019-11286 – JMX Credential Deserialization in GemFire
https://notcve.org/view.php?id=CVE-2019-11286
VMware GemFire versions prior to 9.10.0, 9.9.1, 9.8.5, and 9.7.5, and VMware Tanzu GemFire for VMs versions prior to 1.11.0, 1.10.1, 1.9.2, and 1.8.2, contain a JMX service available to the network which does not properly restrict input. A remote authenticated malicious user may request against the service with a crafted set of credentials leading to remote code execution. VMware GemFire versiones anteriores a 9.10.0, 9.9.1, 9.8.5 y 9.7.5, y VMware Tanzu GemFire para Máquinas Virtuales versiones anteriores a 1.11.0, 1.10.1, 1.9.2 y 1.8.2, contienen un servicio JMX disponible para la red el cual no restringe apropiadamente la entrada. Un usuario malicioso autenticado remoto puede requerir contra el servicio con un conjunto de credenciales diseñadas conllevando a una ejecución de código remota • https://tanzu.vmware.com/security/cve-2019-11286 • CWE-502: Deserialization of Untrusted Data •