AVIS CERTFR - 2020 - AVI - 112
Publié le 25 février 2020 à 08h51
Objet : Vulnérabilité dans Apache Tomcat
Référence : CERTFR-2020-AVI-112
Risque(s)
- Atteinte à la confidentialité des données
Systèmes affectés
- Apache Tomcat 6 toutes versions
- Apache Tomcat 7 versions antérieures à 7.0.100
- Apache Tomcat 8 versions antérieures à 8.5.51
- Apache Tomcat 9 versions antérieures à 9.0.31
Résumé
Une vulnérabilité a été découverte dans le connecteur AJP de Apache Tomcat, qui est activé par défaut. Elle permet à un attaquant ayant la capacité de se connecter directement sur le connecteur AJP de Tomcat de provoquer une atteinte à la confidentialité des données. Dans le cas où …
Solution
Dans le cas où l'application propose une fonctionnalité de téléchargement de fichier, un attaquant ayant accès à cette fonctionnalité pourrait déposer du code exécutable JSP (JavaServer Pages) et en déclencher l'exécution via la présente vulnérabilité.
Documentation
Dernière version du document