Apache Tomcat 管理器遭到暴力破解

语言：

扫描程序通过使用弱的或可预测的凭据，成功地在目标 Apache Tomcat 管理器界面上进行了身份验证。

不应使用默认或可预测的凭据为 Apache Tomcat 管理器界面配置帐户。应定义复杂的密码策略并对每个帐户强制执行策略，以防止攻击者猜测密码和获得未经授权访问权限。请参阅 Apache 文档以根据部署的 Tomcat 版本更新配置。

严重性: High

ID: 113114

类型: remote

系列: Authentication & Session

发布时间: 2022/1/12

最近更新时间: 2022/1/12

扫描模板: api, pci, scan

风险因素: Medium

分数: 5.4

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: Tenable

风险因素: High

基本分数: 8.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

CVSS 分数来源: Tenable

CWE: 16, 521

OWASP: 2010-A3, 2010-A6, 2013-A2, 2013-A5, 2017-A2, 2017-A6, 2021-A5, 2021-A7

WASC: Application Misconfiguration

CAPEC: 112, 16, 49, 509, 55, 555, 561, 565, 70

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.9.2.1, 27001-A.9.2.4, 27001-A.9.3.1, 27001-A.9.4.3

NIST: sp800_53-IA-5

OWASP API: 2019-API7, 2023-API8

OWASP ASVS: 4.0.2-2.1.1, 4.0.2-2.1.11, 4.0.2-2.1.12, 4.0.2-2.1.2, 4.0.2-2.1.3, 4.0.2-2.1.4, 4.0.2-2.1.7, 4.0.2-2.1.8, 4.0.2-2.1.9

PCI-DSS: 3.2-6.5.10