Spring Boot Misconfiguration: Admin MBean Enabled

La aplicación de Spring Boot está configurada para exponer un objeto MBean de administración.

Spring Boot permite a los desarrolladores habilitar características relacionadas con el administrador para la aplicación mediante la especificación de la propiedad spring.application.admin.enabled. Esto expone SpringApplicationAdminMXBean en la plataforma MBeanServer. Los desarrolladores podrían usar esta característica para administrar la aplicación de Spring Boot de forma remota; sin embargo, esta característica expone una superficie de ataque adicional en forma de un punto final JMX remoto. Dependiendo de la configuración de MBeanServer, el objeto MBean pueden exponerse de forma local o remota y puede requerir autenticación o no. En el peor de los casos, los atacantes podrán administrar la aplicación de forma remota, incluso cerrarla sin necesidad de autenticación. En el mejor de los casos, el servicio será tan seguro como las credenciales utilizadas para proteger el servidor.

Nota: Si usa una versión de JRE vulnerable a CVE-2016-3427 (corregida en Java 8 Update 91, abril de 2016), un atacante podrá pasar cualquier objeto Java serializado como credenciales, lo que puede llevar a la ejecución de código arbitrario cuando la JVM remota lo deserializa.