CVE-2020-1938 Tomcat AJP 漏洞记录

本文详细介绍了CVE-2020-1938,一个高危级别的Apache Tomcat AJP漏洞。攻击者能未授权读取服务器webapp下文件,影响Tomcat多个版本。提供了环境搭建、漏洞分析、复现过程和修复建议,包括关闭AJP Connector或升级到安全版本。
摘要由CSDN通过智能技术生成

漏洞描述

2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。由于Tomcat AJP协议存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

威胁等级

高危

影响范围

Apache Tomcat = 6

7 <= Apache Tomcat < 7.0.100

8 <= Apache Tomcat < 8.5.51

9 <= Apache Tomcat < 9.0.31

v2-d2c2ce2a5508b51ba9f9f5c7fbccbc6a_b.jpg

环境搭建

环境:JAVA、Tomcat

Tomcat下载:github.com/apache/tomca

v2-2c7b43c108be5e4bdb2d6b1d70f6b941_b.jpg

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值