漏洞标题
N/A
漏洞描述信息
在Apache Tomcat 5.5.34之前的5.5.34版本、6.0.33之前的6.0.33版本以及7.0.12之前的7.0.12版本中,HTTP摘要访问认证在HTTP协议中实现时,没有预期针对重放攻击的防御措施,这使得远程攻击者更容易通过嗅探网络中的有效请求来绕过预期的访问限制,因为缺乏对令牌(也称为服务器令牌)和nc(也称为令牌计数或客户端令牌计数)值的验证。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The HTTP Digest Access Authentication implementation in Apache Tomcat 5.5.x before 5.5.34, 6.x before 6.0.33, and 7.x before 7.0.12 does not have the expected countermeasures against replay attacks, which makes it easier for remote attackers to bypass intended access restrictions by sniffing the network for valid requests, related to lack of checking of nonce (aka server nonce) and nc (aka nonce-count or client nonce count) values.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat安全漏洞
漏洞描述信息
Apache Tomcat 7.0.0 到7.0.11,6.0.0到6.0.32,5.5.0到5.5.33版本中存在多个安全漏洞。攻击者可利用该漏洞绕过安全限制执行未授权的攻击。
CVSS信息
N/A
漏洞类别
权限许可和访问控制问题