Apache Tomcat 跨应用程序文件操纵

medium Nessus 插件 ID 39479

简介

The web server running on the remote host is affected by an information disclosure vulnerability.

描述

根据其自我报告的版本号,远程主机正在运行易受攻击的 Apache Tomcat 版本。受影响的版本允许 Web 应用程序替换用于处理其他应用程序的 XML 和 TLD 文件的 XML 分析程序。这样可允许恶意 Web 应用程序读取或修改任意 Web 应用程序的“Web.xml”、“context.xml”或 TLD 文件。

解决方案

Upgrade to versions 7.0.19 / 6.0.20 / 5.5.28 / 4.1.40 or later.
Alternatively, apply the patches referenced in the vendor advisory.

另见

https://bz.apache.org/bugzilla/show_bug.cgi?id=29936

https://www.securityfocus.com/archive/1/504090

http://tomcat.apache.org/security-6.html

http://tomcat.apache.org/security-5.html

http://tomcat.apache.org/security-4.html

插件详情

严重性: Medium

ID: 39479

文件名: tomcat_xml_parser.nasl

版本: 1.26

类型: combined

代理: windows, macosx, unix

系列: Web Servers

发布时间: 2009/6/22

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2009-0783

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.2

矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:tomcat

必需的 KB 项: installed_sw/Apache Tomcat

易利用性: No known exploits are available

补丁发布日期: 2009/6/4

参考资料信息

CVE: CVE-2009-0783

BID: 35416

CWE: 200

SECUNIA: 35326, 35344