CVE编号:CVE-2019-0232 威胁等级:高危
漏洞背景
2019年4月13号,Apache Tomcat 9.0.18版本公告中提到,本次更新修复了一个代号为CVE-2019-0232的漏洞。
该漏洞只对Windows平台有效,攻击者向CGI Servlet发送一个精心设计的请求,可服务端注入和执行任意操作系统命令。
影响范围:
Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39
Apache Tomcat 7.0.0 to 7.0.93
环境:
VMware 虚拟机 windows 7 (x32) (192.168.188.138)
JAVA SE (JDK 1.8.0_73)
Apache tomcat 9.0.13 (https://archive.apache.org/) (port :8080)
漏洞复现
配置Toncat:
- 开启Tomcat的CGI_Servlt组件
\Tomcat 9.0\conf\web.xml 文件设置如下图
将下图注释符去掉