描述
Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞。
漏洞详情
Apache Tomcat WebSocket拒绝服务漏洞是由于WebSocket帧中的攻击载荷长度未正确验证导致,无效的攻击载荷长度可能会触发无限循环,如果有大量的包含无效攻击载荷长度的请求发生,可能会导致拒绝服务。
漏洞危害
中风险
影响版本
- Apache Tomcat 10.0.0-M1至10.0.0-M6
- Apache Tomcat 9.0.0.M1至9.0.36
- Apache Tomcat 8.5.0至8.5.56
- Apache Tomcat 7.0.27至7.0.104
修复版本
- Apache Tomcat 10.0.0-M7或更高版本
- Apache Tomcat 9.0.37或更高版本
- Apache Tomcat 8.5.57或更高版本
修复建议
- 检查Tomcat的版本是否在受影响内
- 检查Web是否使用WebSocket
EXP
https://github.com/sevck/CVE-2020-13935
参考信息:
- https://mp.weixin.qq.com/s/Q6abKdXXgXFYn0swZP1vAQ
- https://mp.weixin.qq.com/s/FFhtwlWUEY8DskTM-Nvc7g
- https://blog.redteam-pentesting.de/2020/websocket-vulnerability-tomcat/
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37
相关推荐: Apache Shiro 权限绕过漏洞分析(CVE-2020-13933)
漏洞简述 Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。 风险等级 高危 影响版本 Apache Shiro < 1.6.0 漏洞详情 shi…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论