本文主要是介绍tomcat AJP文件包含漏洞(CVE-2020-1938),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
漏洞介绍
CVE-2020-1938 是一个影响 Tomcat 的 AJP 文件包含漏洞。攻击者可以利用该漏洞通过 Tomcat AJP Connector 读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如配置文件或源码。
如果目标应用有文件上传功能,攻击者还可以利用文件包含漏洞实现远程代码执行,造成严重的安全风险。这一漏洞的发现者为长亭科技安全研究员。由于 Tomcat AJP 协议设计上的缺陷,该漏洞存在于 Tomcat 中。
影响范围
-
Apache Tomcat 6
-
Apache Tomcat 7:版本 < 7.0.100的Tomcat 7受到影响。这意味着在7.0.100及更高版本中,已修复了一些安全漏洞。
-
Apache Tomcat 8:版本 < 8.5.51的Tomcat 8受到影响。建议用户升级到最新版本以获得最新的安全修复。
-
Apache Tomcat 9:版本 < 9.0.31的Tomcat 9受到影响。建议用户升级到最新版本以获得最新的安全修复。
这篇关于tomcat AJP文件包含漏洞(CVE-2020-1938)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
