Apache Tomcat sérülékenységek

CH azonosító

CH-14470

Angol cím

Apache Tomcat Vulnerabilities

Felfedezés dátuma

2018.07.23.

Súlyosság

Magas

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

Apache Tomcat 7.x
Apache Tomcat 8.x
Apache Tomcat 9.x

Összefoglaló

Az Apache Tomcat két magas kockázati besorolású sérülékenységét jelentették, amelyeket kihasználva a nem hitelesített, távoli támadók bizalmas információkat szerezhetnek, illetve szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás

  • A non-blocking I/O (NIO) és NIO2 kapcsolatok létrehozásakor a nem megfelelő paraméterkezelés hibáját ki lehet használni speciálisan megszerkesztett input-ok átadásával, aminek következtében a támadó olyan információkat szerezhet, amivel újra fel tudja használni a felhasználó munkamenetét (session), és ezt további támadásokra használhatja.
  • Az UTF-8 dekódoló komponens nem megfelelően dolgozza fel a felhasználó által átadott bemeneti adatokban lévő kiegészítő karaktereket. Ezt kihasználva a támadó küldhet olyan üzenetet, amellyel végtelen ciklust idéz elő, ami szolgáltatás megtagadásos állapotba juttatja a rendszert.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »