Apache Tomcat再曝嚴重漏洞，789多版本受影響

近日，Apache Tomcat曝出安全繞過漏洞，CVE編號CVE-2018-1305，Apache Tomcat 7、8、9多個版本受到影響。攻擊者可以利用這個問題，繞過某些安全限制來執行未經授權的操作。

CVE-2018-1305漏洞概要

CVE ID：CVE-2018-1305

漏洞影響版本

Apache Tomcat 9.0.0.M1 to 9.0.4

Apache Tomcat 8.5.0 to 8.5.27

Apache Tomcat 8.0.0.RC1 to 8.0.49

Apache Tomcat 7.0.0 to 7.0.84

漏洞涉及廠商

Apache Software Foundation

漏洞涉及產品

Apache Tomcat

安全版本

Apache Tomcat 8.5.28

Apache Tomcat 8.0.50

Apache Tomcat 7.0.85

CVE-2018-1305漏洞評價

CVE評價：

在Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 中，Apache Tomcat servlet 注釋定義的安全約束，只在servlet載入後才應用一次。由於以這種方式定義的安全約束，應用於URL模式及該點下任何URL，很可能取決於servlet載入的次序，對於某些不應用的安全約束。這可能會將資源暴露給未經授權訪問它們的用戶。

SecurityFocus評價：

Apache Tomcat容易出現安全繞過漏洞。攻擊者可以利用這個問題，繞過某些安全限制來執行未經授權的操作。這可能有助於進一步攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！