tomcat9漏洞CVE-2024-23672

最新推荐文章于 2025-04-14 10:05:41 发布

m0_74823892

最新推荐文章于 2025-04-14 10:05:41 发布

阅读量1.1k

点赞数 2

文章标签： java

本文链接：https://blog.csdn.net/m0_74823892/article/details/144334150

版权

序号

漏洞名称

影响主机个数

Apache Tomcat 安全漏洞(CVE-2024-23672)

1/1

Apache Tomcat 输入验证错误漏洞(CVE-2024-24549)

1/1

漏洞名称：CVE-2024-23672

影响版本：tomcat9.0.0-M1 to 9.0.85；tomcat8.5.0 to 8.5.98

处理方案升级tomcat小版本号，比如升级到9.0.87；

**漏洞名称：**CVE-2024-24549

影响版本：

Apache Tomcat 11.0.0-M1到11.0.0-M16、

10.1.0-M1到10.1.18

9.0.0-M1到9.0.85

8.5.0到8.5.98等受影响的版本

处理方案升级tomcat小版本号，比如升级到9.0.87；

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

m0_74823892

关注关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

漏洞修复：Apache Tomcat 安全漏洞(CVE-2024-50379) | Apache Tomcat 安全漏洞(CVE-2024-52318)

专注于计算机研发知识和资讯分享

01-23

1760

解决方案：升级到最新版Tomcat。

2024年10月主机漏扫：升级Tomcat解决Apache Tomcat 安全漏洞(CVE-2024-34750)【为了同一个tomcat版本安装多个服务】【亲测可用】

专注于计算机研发知识和资讯分享

10-15

1116

该漏洞源于存在异常情况处理不当、资源消耗不受控制的漏洞。升级Tomcat到最新版，例如9.0.96。漏洞名称：CVE-2024-34750。

参与评论您还未登录，请先登录后发表或查看评论

Linux随记（十四）

Nightwish5的博客

01-09

612

【代码】Linux随记（十四）

【Tomcat】Apache发布两个新版本Tomcat修复多个Bug

cnskylee的博客

10-12

4991

Tomcat Session 反序列化漏洞（CVE-2025-24813）

玄道的网安博客

03-14

1285

核心逻辑在这里，以 range.length作为文件的长度，range.start作为起始点开始处理流，这也是为什么 length 必须要大于 body 的总长度，不然无法将内容完全上传。这部分是反序列化触发点，CVE-2020-9484出自这里，所以不难看出这其实是一个组合漏洞，当时CVE-2020-9484是因为存在目录穿越问题所以可以穿越加载一个自定义的序列化文件。CVE-2017-12615、CVE-2024-50379均涉及该方法，也就是 doPUT，其实逻辑很简单，如以下代码。

Tomcat 爆出高危漏洞！可导致网站、数据泄露！附解决方案

求关注

02-25

5463

漏洞背景安全公告编号：CNTA-2020-0004 2020年02月20日， 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞，攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：we...

Tomcat漏洞详解

m0_64481831的博客

03-06

3803

Tomcat是一种轻量级的web服务器，主要负责运行jsp和Servlet具有任意文件写入漏洞：主要影响7.0-7.8左右，原因是因为配置不当问题（conf/web.xml文件的readonly参数定义为false），导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过（后两者都需要在Windows下）具有文件包含漏洞：主要影响6和8版本，7和9版本有少数；原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。

tomcat 漏洞集合

qq_53229503的博客

09-02

8338

tomcat 漏洞集合

Tomcat漏洞

lhdbk______的博客

08-06

723

常见中间件漏洞

Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理

企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net

08-14

6862

现场的为中小型项目，未直接使用功能tomcat作为容器使用，仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用，从而保证项目包可直接运行 webapp项目，无需再部署到额外的tomcat服务了；当不想因为Tomcat就改变SpringBoot的版本时，可以采用排除SpringBoot中的Tomcat包，然后手动指定新的Tomcat的版本来实现升级内置组件的目的，当然还要引入Tomcat相关的包。其中，Coyote作为Tomcat的。

CVE-2024-38819：Spring 框架路径遍历 PoC 漏洞复现

12-16

CVE-2024-38819漏洞是一个影响Spring框架的严重安全漏洞。Spring框架是广泛应用于Java开发中的一个开源框架，它提供了全面的编程和配置模型。该漏洞特别关注于路径遍历问题，这是一种安全漏洞，攻击者可以利用它来...

tomcat 升级到8.5.99后，系统启动不起来问题（修复 CVE-2024-24549 拒绝访问漏洞）

04-16

描述中提到的“在8.5.98基础上，增加了修复CVE-2024-24549拒绝访问漏洞的代码”，这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复。CVE（Common Vulnerabilities and Exposures）...

Apache Tomcat RCE漏洞复现（CVE-2025-24813）

最新发布

ANGEEK181203的博客

04-14

870

例如 Content-Range: bytes 0-1000/1200 表示文件总大小是1200字节，本次上传的是前1001字节（0-1000），后续上传剩余部分（1001-1200）。使用 partial PUT 请求将恶意的序列化数据写入到会话文件中，在开启文件会话持久化（默认存储位置），并且在文件上传未完成的情况下，内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。2. 在conf/context.xml中，开启File文件会话存储。

Tomcat9 AJP 任意文件读取和文件包含漏洞（CVE-2020-1938）

weixin_42786460的博客

09-25

4615

Tomcat9 AJP 任意文件读取和文件包含漏洞（CVE-2020-1938）

tomcat系列漏洞

qq_56150805的博客

05-06

2385

Tomcat 配置了两个Connecto，它们分别是 HTTP 和 AJP ：HTTP默认端口为8080，处理http请求，而AJP默认端口8009，用于处理 AJP 协议的请求，而AJP比http更加优化，多用于反向、集群等，漏洞由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。Tomcat 服务器是一个开源的轻量级Web应用服务器，在中小型系统和并发量小的场合下被普遍使用，是开发和调试Servlet、JSP 程序的首选。

tomcat中间件漏洞

m0_67170526的博客

03-25

1232

攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。在这个页面抓一个包，然后修改传参方式为PUT方式，路径写你要在目标服务器上创建的文件名，Tomcat对文件后缀有一定检测（不能直接写jsp），但我们使用一些文件系统的特性（如Linux下可用。这里发现8009端口是开放状态，可以进行尝试AJP文件包含。

tomcat常见漏洞

qq_46416934的博客

06-18

3539

目录前言一、任意文件上传1.1 影响版本1.2 初始配置1.3 漏洞详情二、CVE-2020-1938?文件包含漏洞2.1 影响版本2.2 漏洞详情三、未授权弱口令+war后门上传总结tomcat和apache一样是一个免费的服务器，主要用于jsp框架的网站，可以看作是apache的一个扩展，但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞。tomcat 7.0.x --------------cve-2017-12615需要在windows下将配

cve-2024-23672

06-27

CVE-2024-23672 是一个未公开的安全漏洞标识符，通常用来指代特定的软件或系统中的安全缺陷。这些标识符由美国计算机应急响应小组（CVE）分配，用于统一追踪和命名全球范围内的信息安全漏洞。由于CVE编号是动态分配的，并且直到漏洞公开或确认后才会公布详细信息，对于一个尚未公开的漏洞（如2024-23672），目前可能不存在详细的描述、影响范围、攻击向量或修复建议。一般来说，只有当漏洞被制造商或安全研究者公开时，我们才能获取到更多关于它的详情，包括其可能导致的数据泄露、权限提升或其他危害。