Il est destiné à quelques usines sélectionnées nécessaires par les plugins pour l’activité ou l’action JMS. L’inclusion d’instanciateurs supplémentaires pourrait être une étape dans une chaîne d’attaque pour des vulnérabilités telles que l’insertion JDNI qui reposent sur les capacités qu’un attaquant peut exploiter dans les instanciateurs autorisés. Pour éviter toute possibilité d’exploitation de vulnérabilité, n’incluez pas les usines au-delà des valeurs par défaut nécessaires.

Pour remédier à ce risque de sécurité, passez en revue la liste des noms fournie à la propriété mid, mid.property.jms.command.allowed_factory_names. Assurez-vous que tous les noms d’instanciateurs Java supplémentaires au-delà de la valeur par défaut de connectionFactory, queueConnectionFactory et topicConnectionFactory sont nécessaires.

En savoir plus