开放重定向对于网络漏洞世界并不陌生。开放重定向是指恶意网站诱骗访问者单击看似无害或合法的链接,但将他们重定向到具有恶意意图的网站。这可能会导致网络钓鱼攻击、数据盗窃和普遍的信任破坏。
对于 Apache Tomcat,如果 ROOT(默认)Web 应用程序使用 FORM 身份验证,则服务器会变得容易受到攻击。攻击者可以制作特定的 URL,当用户访问这些 URL 时,会将用户跳转到攻击者选择的 URL。看似真实的链接可能会将用户重定向到旨在窃取其凭据或将恶意软件注入其系统的网页。
安全研究员发现了这个缺陷。在数字时代,揭露漏洞至关重要,因为它可以让公司和开发人员在问题广泛传播之前对其进行修补。
如果您正在运行以下任何版本的 Apache Tomcat,您的系统可能容易受到攻击:
-
Apache Tomcat 11.0.0-M1 至 11.0.0-M10
-
Apache Tomcat 10.1.0-M1 至 10.1.12
-
Apache Tomcat 9.0.0-M1 至 9.0.79
-
Apache Tomcat 8.5.0 至 8.5.92
版本范围越广,潜在受害者的数量就越多。该漏洞跨越多个主要版本,潜在影响相当广泛。
不用担心,对于每个漏洞,通常都有缓解路径。对于 CVE-2023-41080,路径很简单:更新您的 Apache Tomcat。以下版本已修补以防御此开放重定向漏洞:
-
Apache Tomcat 11.0.0-M11 或更高版本
-
Apache Tomcat 10.1.13 或更高版本
-
Apache Tomcat 9.0.80 或更高版本
-
Apache Tomcat 8.5.93 或更高版本
如果您使用任何存在漏洞的版本,建议尽快升级。
参考:
https://github.com/advisories/GHSA-q3mw-pvr8-9ggc
https://github.com/shiomiyan/CVE-2023-41080
原文始发于微信公众号(Ots安全):CVE-2023-41080:Apache Tomcat 开放重定向漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论