tomcat AJP文件包含漏洞（CVE-2020-1938）

漏洞介绍

        CVE-2020-1938 是一个影响 Tomcat 的 AJP 文件包含漏洞。攻击者可以利用该漏洞通过 Tomcat AJP Connector 读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如配置文件或源码。

        如果目标应用有文件上传功能，攻击者还可以利用文件包含漏洞实现远程代码执行，造成严重的安全风险。这一漏洞的发现者为长亭科技安全研究员。由于 Tomcat AJP 协议设计上的缺陷，该漏洞存在于 Tomcat 中。

影响范围

• Apache Tomcat 6

• Apache Tomcat 7：版本 < 7.0.100的Tomcat 7受到影响。这意味着在7.0.100及更高版本中，已修复了一些安全漏洞。

• Apache Tomcat 8：版本 < 8.5.51的Tomcat 8受到影响。建议用户升级到最新版本以获得最新的安全修复。

• Apache Tomcat 9：版本 < 9.0.31的Tomcat 9受到影响。建议用户升级到最新版本以获得最新的安全修复。