Расширенный
База уязвимостей

Разглашение информации

2 февраля 2021
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Описание
Tomcat содержит уязвимость, которая может позволяет злоумышленникам, действующим удаленно, читать произвольные файлы. Проблема заключает в том, что стандартная конфигурация приложения не ограничивает доступ к содержимому /admin. Злоумышленник, действующий удаленно, может добавить содержимое корневого каталога, обратившись напрямую к административным сервлетам, и просмотреть произвольные файлы в системе.
Как исправить
Обновление не выпущено.
http://www.apache.org/
http://tomcat.apache.org/
Как временное решение производитель рекомендует запретить доступ к содержимому /admin или удалить его.
Ссылки
Security Focus (BID 1548): http://securityfocus.com/bid/1548
ISS X-Force (apache-tomcat-file-contents(4205)): http://xforce.iss.net/static/4205.php
Bugtraq (Jakarta-tomcat.../admin): http://archives.neohapsis.com/archives/bugtraq/2000-07/0309.html
BID (1548): http://www.securityfocus.com/bid/1548
XF (jakarta-tomcat-admin): http://xforce.iss.net/static/5160.php