tomcat AJP文件包含漏洞(CVE-2020-1938)

漏洞介绍

        CVE-2020-1938 是一个影响 Tomcat 的 AJP 文件包含漏洞。攻击者可以利用该漏洞通过 Tomcat AJP Connector 读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如配置文件或源码。

        如果目标应用有文件上传功能,攻击者还可以利用文件包含漏洞实现远程代码执行,造成严重的安全风险。这一漏洞的发现者为长亭科技安全研究员。由于 Tomcat AJP 协议设计上的缺陷,该漏洞存在于 Tomcat 中。

影响范围

  • Apache Tomcat 6

  • Apache Tomcat 7版本 < 7.0.100的Tomcat 7受到影响。这意味着在7.0.100及更高版本中,已修复了一些安全漏洞。

  • Apache Tomcat 8版本 < 8.5.51的Tomcat 8受到影响。建议用户升级到最新版本以获得最新的安全修复。

  • Apache Tomcat 9版本 < 9.0.31的Tomcat 9受到影响。建议用户升级到最新版本以获得最新的安全修复。

你可能感兴趣的:(Web安全渗透,tomcat,java)