漏洞描述
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。用于实现对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本存在环境问题漏洞。攻击者利用该漏洞可以远程执行代码或泄露敏感信息。
漏洞危害
文件上传漏洞可能导致的危害包括:1)执行任意代码,攻击者可以通过上传恶意代码文件来控制服务器;2)数据泄露,攻击者可能通过上传恶意文件来获取敏感数据;3)服务中断,攻击者可能上传恶意文件导致服务器资源耗尽或服务不可用;4)法律风险,服务器上出现恶意内容可能导致法律责任。
修复方法
将组件 tomcat 升级至 9.0.99 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 10.1.35 及以上版本
将组件 tomcat 升级至 11.0.3 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 11.0.3 及以上版本
将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 11.0.3 及以上版本
将组件 tomcat 升级至 10.1.35 及以上版本
default servlet避免修改readonly配置
将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 10.1.35 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 9.0.99 及以上版本
参考链接
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2025-03-11
漏洞信息更新
2025-04-01
