描述:
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。
Apache Tomcat Version(s): 7.0.0 to 7.0.84, 8.0.0.RC1 to 8.0.49, 8.5.0 to 8.5.27, 9.0.0.M1 to 9.0.4 存在安全限制绕过漏洞。该漏洞产生的原因是系统未能执行包含完全映射到上下文根的“”(空字符串)URL模式的安全约束定义。远程用户可利用该漏洞绕过目标系统上的安全控制并访问目标系统上表面受限制的资源。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
补丁链接:
The vendor has issued a fix (7.0.85, 8.0.50, 8.5.28, 9.0.5).
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.5
引用自:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-03661