近日,Apache Tomcat曝出安全繞過漏洞,CVE編號CVE-2018-1305,Apache Tomcat 7、8、9多個版本受到影響。攻擊者可以利用這個問題,繞過某些安全限制來執行未經授權的操作。
CVE-2018-1305漏洞概要
CVE ID:CVE-2018-1305
漏洞影響版本
Apache Tomcat 9.0.0.M1 to 9.0.4
Apache Tomcat 8.5.0 to 8.5.27
Apache Tomcat 8.0.0.RC1 to 8.0.49
Apache Tomcat 7.0.0 to 7.0.84
漏洞涉及廠商
Apache Software Foundation
漏洞涉及產品
Apache Tomcat
安全版本
Apache Tomcat 8.5.28
Apache Tomcat 8.0.50
Apache Tomcat 7.0.85
CVE-2018-1305漏洞評價
CVE評價:
在Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 中,Apache Tomcat servlet 注釋定義的安全約束,只在servlet加載後才應用一次。由於以這種方式定義的安全約束,應用於URL模式及該點下任何URL,很可能取決於servlet加載的次序,對於某些不應用的安全約束。這可能會將資源暴露給未經授權訪問它們的用戶。
SecurityFocus評價:
Apache Tomcat容易出現安全繞過漏洞。攻擊者可以利用這個問題,繞過某些安全限制來執行未經授權的操作。這可能有助於進一步攻擊。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/220975.html
微信掃一掃 
支付寶掃一掃 
