当前位置: 首页 > 工具软件 > Apache Tomcat > 使用案例 >

【Tomcat】Apache Tomcat多个版本存在本地越权漏洞

羊舌阎宝
2023-12-01

漏洞CVE-ID:CVE-2022-23181

漏洞风险等级:低(CVSS v2 Base Score: 4.4 | Impact Score: 6.4 | Exploitability Score: 3.4)

漏洞说明(官方):The fix for bug CVE-2020-9484 introduced a time of check, time of use vulnerability that allowed a local attacker to perform actions with the privileges of the user that the Tomcat process is using. This issue is only exploitable when Tomcat is configured to persist sessions using the FileStore.(翻译:针对 bug CVE-2020-9484 的修复引入了一个检查时间、使用时间漏洞,允许本地攻击者使用 Tomcat 进程正在使用的用户的权限执行操作。仅当 Tomcat 配置为使用文件存储保留会话时,才会利用此问题。)

受影响版本

  • 8.5.55 - 8.5.73
  • 9.0.35 - 9.0.56
  • 10.0.0-M5 - 10.0.14

漏洞修复版本

  • 8.5.75
  • 9.0.58
  • 10.0.16
 类似资料: