Vulnérabilité dans Apache Tomcat

RISQUE(S)

  • Atteinte à la confidentialité des données

SYSTÈMES AFFECTÉS

  • Apache Tomcat 6 toutes versions
  • Apache Tomcat 7 versions antérieures à 7.0.100
  • Apache Tomcat 8 versions antérieures à 8.5.51
  • Apache Tomcat 9 versions antérieures à 9.0.31

RÉSUMÉ

Une vulnérabilité a été découverte dans le connecteur AJP de Apache Tomcat, qui est activé par défaut. Elle permet à un attaquant ayant la capacité de se connecter directement sur le connecteur AJP de Tomcat de provoquer une atteinte à la confidentialité des données. 

SOLUTION

Dans le cas où l'application propose une fonctionnalité de téléchargement de fichier, un attaquant ayant accès à cette fonctionnalité pourrait déposer du code exécutable JSP (JavaServer Pages) et en déclencher l'exécution via la présente vulnérabilité.

 

Source : AMSN