Spring Boot Misconfiguration: Admin MBean Enabled

O aplicativo Spring Boot é configurado para expor um MBean de administração.

O Spring Boot permite que os desenvolvedores habilitem recursos relacionados ao administrador para o aplicativo, especificando a propriedade spring.application.admin.enabled. Isso expõe o SpringApplicationAdminMXBean na plataforma MBeanServer. Os desenvolvedores podem usar esse recurso para administrar o aplicativo Spring Boot remotamente; no entanto, esse recurso expõe uma superfície de ataque adicional na forma de um endpoint JMX remoto. Dependendo da configuração do MBeanServer o MBean pode ser exposto local ou remotamente e pode ou não exigir autenticação. Na pior das hipóteses, os invasores serão capazes de gerenciar o aplicativo remotamente, incluindo desligá-lo sem qualquer autenticação. Na melhor das hipóteses, o serviço será tão forte quanto as credenciais usadas para proteger o servidor.

Observação: Se estiver usando uma versão JRE vulnerável ao CVE-2016-3427 (corrigido no Java 8 Update 91, abril de 2016), um invasor será capaz de passar qualquer objeto Java serializado como as credenciais, o que pode levar à execução arbitrária de código quando o JVM remoto desserializa.