Il est destiné à quelques instanciateurs sélectionnés requis par les plugins pour l’activité ou l’action JMS. L’inclusion d’usines supplémentaires pourrait être une étape dans une chaîne d’attaque pour des vulnérabilités telles que l’insertion JDNI qui reposent sur les capacités qu’un attaquant peut exploiter dans les usines autorisées. Pour éviter toute possibilité de vulnérabilité exploitée, n’incluez pas les usines au-delà des valeurs par défaut nécessaires.

Pour remédier à ce risque de sécurité, passez en revue la liste des noms fournie à la propriété MID, mid.property.jms.command.allowed_factory_names. Assurez-vous que tous les noms d’instanciateurs Java supplémentaires au-delà de la valeur par défaut connectionFactory, queueConnectionFactory et topicConnectionFactory sont nécessaires.

En savoir plus