一、 漏洞简介
1.漏洞编号和级别
CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。
2.漏洞概述
Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
4月11日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-2019-0232),由于JRE将命令行参数传递给Windows的方式存在错误,会导致CGI Servlet受到远程执行代码的攻击。
3.触发该漏洞需要同时满足以下条件:
-
系统为Windows
-
启用了CGI Servlet(默认为关闭)
-
启用了enableCmdLineArguments(Tomcat 9.0.*及官方未来发布版本默认为关闭)
4.影响范围
Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39
Apache Tomcat 7.0.0 to 7.0.93
二、 漏洞复现
1.环境介绍
我的环境是这样的:
服务端:Windows 10
Apache Tomcat 9.0.1