感谢阅读本文的任何人。

外部测试是由外部机构在JBoss 4.0.4实例上的Staging服务器应用程序上执行的。

据报道是“ Apache Tomcat / JBoss EJBInvokerServlet / JMXInvokerServlet编组对象远程代码执行”

建议升级JBoss服务器以消除该漏洞。由于不同的业务原因，我无法在未来1年左右升级到最新版本。

在我的应用程序中，我们不需要通过任何这些Servlet使用任何战争部署。我做了一些更改以解决[未来1年的工作]。测试环境是否仍然容易受到此举报案例影响的最佳方法是什么？ –没有选择再次从外部代理商那里获得服务。

顺便说一下，在更改之后，对于URL http：/// invoker / EJBInvokerServlet和http：/// invoker / JMXInvokerServlet，我可以看到带有消息“请求的资源（/ invoker / JMXInvokerServlet）不可用”的页面。这些URL的更改打开了EJBInvokerServlet和JMXInvokerServlet

有人可以提出验证环境是否仍然脆弱的方法吗？

还请告知我是否有可用的建议解决方案，请修复JBoss 4.0.4中的漏洞。

谢谢。

看来您指的是CVE-2012-0874：

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0874

可以在以下位置找到此漏洞的利用：

http://www.securityfocus.com/bid/62854

在该页面的“利用”标签下查看。 PHP代码尝试通过HTTP POST请求来部署简短的war文件。

您说不再可以访问/ invoker / EJBInvokerServlet和/ invoker / JMXInvokerServlet资源，因此很安全。