漏洞预警 | Apache Tomcat信息泄露漏洞

admin

103513
文章

87
评论

2024年1月24日09:59:24评论36 views字数 431阅读1分26秒阅读模式

0x00 漏洞编号

CVE-2024-21733

0x01 危险等级

中危

0x02 漏洞概述

Tomcat是一个免费的开放源代码的轻量级Web应用服务器。

漏洞预警 | Apache Tomcat信息泄露漏洞

0x03 漏洞详情

CVE-2024-21733

漏洞类型：信息泄露

影响：获取其它用户请求数据

简述：Tomcat中存在信息泄露漏洞，Coyote.Http11InputBuffer.fill在抛出CloseNowException异常后没有重置缓冲区的position和limit，导致服务端可能可以获取另一个用户的请求数据。攻击者可以通过构造特定请求，在异常页面中输出其他请求的body数据。

0x04 影响版本

9.0.0-M11 <= Apache Tomcat <= 9.0.43
8.5.7 <= Apache Tomcat <= 8.5.63

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://tomcat.apache.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Tomcat信息泄露漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | Apache Tomcat信息泄露漏洞

CVE-2024-21733

CVE-2024-29269 RCE漏洞（附EXP）

CVE-2024-21006 Oracle WebLogic Server RCE POC

【漏洞预警】OpenMetadata SPEL注入漏洞 (CVE-2024-28847)

叮～你有新的速递！CNVD-2024-02175 RCE漏洞（附EXP）

漏洞复现 | 图书馆集群管理系统interlib updOpuserPw SQL注入漏洞【附poc】

【高危漏洞】锐捷统一上网行为管理与审计系统存在命令执行漏洞

CVE-2024-32399｜RaidenMAILD Mail Server路径遍历漏洞（POC）

CVE-2024-34351｜Next.js框架存在SSRF漏洞

CVE-2024-21793｜F5 BIG-IP Next Central Manager存在多个安全漏洞（POC）

工具 | 禅道最新身份认证绕过漏洞利用

发表评论

在线咨询

微信