漏洞描述:
Apache Tomcat 中存在开放重定向漏洞,若 ROOT 默认的 Web 应用程序通过 FORM 进行身份验证时,攻击者可以制作特定的 URL,当用户访问这些 URL 时,会将用户跳转到攻击者选择的 URL。看似真实的链接可能会将用户重定向到旨在窃取其凭据或将恶意软件注入其系统的网页,该漏洞仅影响 ROOT(默认)Web 应用程序。
利用条件:
需交互
影响版本:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M10
10.1.0-M1 <= Apache Tomcat <= 10.1.12
9.0.0-M1 <= Apache Tomcat <= 9.0.79
8.5.0 <= Apache Tomcat <= 8.5.92
修复方法:
受影响用户应应用以下其中一项:
-升级至Apache Tomcat 11.0.0-M11 或更高版本
-升级至Apache Tomcat 10.1.13 或更高版本
-升级至Apache Tomcat 9.0.80 或更高版本
-升级至Apache Tomcat 8.5.93 或更高版本
缓解方案:
无
相关链接:
https://lists.apache.org/thread/71wvwprtx2j2m54fovq9zr7gbm2wow2f
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Tomcat 开放重定向漏洞CVE-2023-41080
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论