近日,Apache Tomcat曝出安全繞過(guò)漏洞,CVE編號(hào)CVE-2018-1305�����,Apache Tomcat 7、8�、9多個(gè)版本受到影響。攻擊者可以利用這個(gè)問(wèn)題���,繞過(guò)某些安全限制來(lái)執(zhí)行未經(jīng)授權(quán)的操作��。
CVE-2018-1305漏洞概要
CVE ID:CVE-2018-1305
漏洞影響版本
Apache Tomcat 9.0.0.M1 to 9.0.4
Apache Tomcat 8.5.0 to 8.5.27
Apache Tomcat 8.0.0.RC1 to 8.0.49
Apache Tomcat 7.0.0 to 7.0.84
漏洞涉及廠商
Apache Software Foundation
漏洞涉及產(chǎn)品
Apache Tomcat
安全版本
Apache Tomcat 8.5.28
Apache Tomcat 8.0.50
Apache Tomcat 7.0.85
CVE-2018-1305漏洞評(píng)價(jià)
CVE評(píng)價(jià):
在Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 中�����,Apache Tomcat servlet 注釋定義的安全約束����,只在servlet加載后才應(yīng)用一次���。由于以這種方式定義的安全約束����,應(yīng)用于URL模式及該點(diǎn)下任何URL����,很可能取決于servlet加載的次序���,對(duì)于某些不應(yīng)用的安全約束。這可能會(huì)將資源暴露給未經(jīng)授權(quán)訪問(wèn)它們的用戶�����。
SecurityFocus評(píng)價(jià):
Apache Tomcat容易出現(xiàn)安全繞過(guò)漏洞���。攻擊者可以利用這個(gè)問(wèn)題��,繞過(guò)某些安全限制來(lái)執(zhí)行未經(jīng)授權(quán)的操作���。這可能有助于進(jìn)一步攻擊。
