漏洞标题
N/A
漏洞描述信息
Apache Tomcat 7.x through 7.0.70 和 8.x through 8.5.4,当启用CGI Servlet时,遵循 RFC 3875 第 4.1.18 节,因此无法保护应用程序从HTTP_PROXY环境变量中 presence 未授权客户端数据,这可能导致远程攻击者通过在HTTP请求中的精心构造的Proxy header 将应用程序的外部HTTP流量转向任意代理服务器,即“httpoxy”问题。注意:供应商表示“ Tomcat 未来的发布将采取措施,其跟踪编号为CVE-2016-5388”;换句话说,这不是一个漏洞的CVE ID。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache Tomcat 7.x through 7.0.70 and 8.x through 8.5.4, when the CGI Servlet is enabled, follows RFC 3875 section 4.1.18 and therefore does not protect applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect an application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. NOTE: the vendor states "A mitigation is planned for future releases of Tomcat, tracked as CVE-2016-5388"; in other words, this is not a CVE ID for a vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat 访问控制错误漏洞
漏洞描述信息
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat 8.x版本至8.5.4版本、7.x版本至7.0.70版本存在访问控制错误漏洞。攻击者利用该漏洞通过HTTP请求中特制的Proxy标头将应用程序的出站HTTP流量重定向到任意代理服务器。
CVSS信息
N/A
漏洞类别
授权问题