Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat的RequestUtil.java文件中存在目录遍历漏洞,该漏洞源于getResource、getResourceAsStream和getResourcePaths函数没有充分过滤路径名中的目录遍历字符‘..’。远程攻击者可利用该漏洞绕过既定的SecurityManager限制,列出父目录。以下版本受到影响:Apache Tomcat 6.0.45之前6.x版本,7.0.65之前7.x版本,8.0.27之前8.x版本。
Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat的RequestUtil.java文件中存在目录遍历漏洞,该漏洞源于getResource、getResourceAsStream和getResourcePaths函数没有充分过滤路径名中的目录遍历字符‘..’。远程攻击者可利用该漏洞绕过既定的SecurityManager限制,列出父目录。以下版本受到影响:Apache Tomcat 6.0.45之前6.x版本,7.0.65之前7.x版本,8.0.27之前8.x版本。