漏洞标题
N/A
漏洞描述信息
在Apache Tomcat 6.0.44之前、7.0.58之前和8.0.16之前版本的EL实现,未正确考虑不可访问类实现的可访问接口的可能性,这导致攻击者可以通过利用EL评估过程中使用错误权限的web应用程序,绕过SecurityManager的保护机制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Expression Language (EL) implementation in Apache Tomcat 6.x before 6.0.44, 7.x before 7.0.58, and 8.x before 8.0.16 does not properly consider the possibility of an accessible interface implemented by an inaccessible class, which allows attackers to bypass a SecurityManager protection mechanism via a web application that leverages use of incorrect privileges during EL evaluation.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat 访问控制错误漏洞
漏洞描述信息
Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat中存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。
CVSS信息
N/A
漏洞类别
授权问题