漏洞预警 | Apache Tomcat信息泄露漏洞

admin

140694
文章

117
评论

2024年1月24日09:59:24评论89 views字数 431阅读1分26秒阅读模式

0x00 漏洞编号

CVE-2024-21733

0x01 危险等级

中危

0x02 漏洞概述

Tomcat是一个免费的开放源代码的轻量级Web应用服务器。

漏洞预警 | Apache Tomcat信息泄露漏洞

0x03 漏洞详情

CVE-2024-21733

漏洞类型：信息泄露

影响：获取其它用户请求数据

简述：Tomcat中存在信息泄露漏洞，Coyote.Http11InputBuffer.fill在抛出CloseNowException异常后没有重置缓冲区的position和limit，导致服务端可能可以获取另一个用户的请求数据。攻击者可以通过构造特定请求，在异常页面中输出其他请求的body数据。

0x04 影响版本

9.0.0-M11 <= Apache Tomcat <= 9.0.43
8.5.7 <= Apache Tomcat <= 8.5.63

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://tomcat.apache.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Tomcat信息泄露漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2024年1月24日09:59:24
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
漏洞预警 | Apache Tomcat信息泄露漏洞https://cn-sec.com/archives/2424691.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

漏洞预警 | Apache Tomcat信息泄露漏洞

CVE-2024-21733

Tenda AC9命令注入漏洞

万户OA DocumentHistory.jsp sql注入漏洞

EKing-管理易 FileDownload 任意文件读取漏洞

漏洞预警：CVE-2024-26809利用nftables双重释放漏洞获取Root权限

WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011)

ECShop存在逻辑缺陷漏洞（CNVD-2025-08499）

智邦国际ERP GetPrintTemplate.ashx SQL注入漏洞

F5 BIG-IP IControl REST和TMSH 命令执行漏洞（CVE-2025-31644）

CVE-2025-4076 BL-Link远程代码执行漏洞挖掘

昂捷CRM cwsapprove.asmx SQL注入漏洞 POC

发表评论

在线咨询

微信