CNVD-2020-10487(Tomcat AJP)漏洞
CNVD-2020-10487 漏洞版本,Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。
影响版本:
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
没有使用到Tomcat AJP协议,解决办法有两种:
1. Tomcat 由当前的7.0.78升级至7.0.104或更高版本;
2. 关闭AJPConnector,可在Tomcat的server.xml配置文件中,将注释或删除掉。