漏洞标题
N/A
漏洞描述信息
在Apache Tomcat 6.0.45之前,6.0.68之前,8.0.31之前和9.0.0.M2之前版本的session persistence实现有误处理session属性,这允许远程授权用户绕过预期的安全管理器限制,通过将构造好的对象添加到会话中的web应用程序在特权上下文中执行任意代码。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The session-persistence implementation in Apache Tomcat 6.x before 6.0.45, 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M2 mishandles session attributes, which allows remote authenticated users to bypass intended SecurityManager restrictions and execute arbitrary code in a privileged context via a web application that places a crafted object in a session.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat 权限许可和访问控制问题漏洞
漏洞描述信息
Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat的session-persistence实现过程中存在安全漏洞,该漏洞源于程序没有正确处理会话属性。远程攻击者可借助将特制的对象放到会话中的Web应用程序利用该漏洞绕过既定的SecurityManager限制,以提升的权限执行任意代码。以下版本受到影响:Apache Tomcat 6.0.45之前6.x版本,
CVSS信息
N/A
漏洞类别
权限许可和访问控制问题