漏洞描述
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。由于Tomcat AJP协议存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。
威胁等级
高危
影响范围
Apache Tomcat = 6
7 <= Apache Tomcat < 7.0.100
8 <= Apache Tomcat < 8.5.51
9 <= Apache Tomcat < 9.0.31
![v2-d2c2ce2a5508b51ba9f9f5c7fbccbc6a_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/b27bc92d803756e462db15a3e2c725fe.jpeg)
环境搭建
环境:JAVA、Tomcat
Tomcat下载:https://github.com/apache/tomcat/releases
![v2-2c7b43c108be5e4bdb2d6b1d70f6b941_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/ace2fe18aab41741b78acada03fe4b6f.jpeg)