漏洞描述:
Apache Tomcat 存在一个远程代码执行漏洞,当默认Servlet的readonly参数被设置为 false时,攻击者可以利用条件竞争,使用PUT方法上传恶意代码并触发执行,导致服务器失陷。
受影响版本:
9.0.0.M1 ≤ Apache Tomcat < 9.0.98
10.1.0-M1 ≤ Apache Tomcat < 10.1.34
11.0.0-M1 ≤ Apache Tomcat < 11.0.2
官方解决方案:
官方已发布最新版本修复该漏洞,建议受影响用户将Tomcat升级到安全版本及以上的版本。