漏洞标题
N/A
漏洞描述信息
Apache Tomcat 4.1.0 到 4.1.39, 5.5.0 到 5.5.27, 6.0.0 到 6.0.18 以及可能更早的版本在使用 RequestDispatcher 方法过滤查询字符串之前,会将目标路径名 normalize,这允许远程攻击者绕过预期的访问限制,并通过请求中的..(点点)序列和 WEB-INF 目录进行目录穿越攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache Tomcat 4.1.0 through 4.1.39, 5.5.0 through 5.5.27, 6.0.0 through 6.0.18, and possibly earlier versions normalizes the target pathname before filtering the query string when using the RequestDispatcher method, which allows remote attackers to bypass intended access restrictions and conduct directory traversal attacks via .. (dot dot) sequences and the WEB-INF directory in a Request.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat 路径遍历漏洞
漏洞描述信息
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Tomcat在使用RequestDispatcher方式过滤查询字符串之前会首先规范化模板路径名称,如果请求中包含有特制参数的话,就可能通过目录遍历攻击访问受限制的内容,或在WEB-INF目录中锁定内容。
CVSS信息
N/A
漏洞类别
路径遍历