漏洞描述
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。由于Tomcat AJP协议存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。
威胁等级
高危
影响范围
Apache Tomcat = 6
7 <= Apache Tomcat < 7.0.100
8 <= Apache Tomcat < 8.5.51
9 <= Apache Tomcat < 9.0.31
![v2-d2c2ce2a5508b51ba9f9f5c7fbccbc6a_b.jpg](https://img-blog.csdnimg.cn/img_convert/7412aeef9d6fc7820409a439231bf4bd.png)
环境搭建
环境:JAVA、Tomcat
Tomcat下载:https://github.com/apache/tomcat/releases
![v2-2c7b43c108be5e4bdb2d6b1d70f6b941_b.jpg](https://img-blog.csdnimg.cn/img_convert/755b46c66ef5606353797e013046941e.png)