近日，Apache Tomcat曝出安全绕过漏洞，CVE编号CVE-2018-1305，Apache Tomcat 7、8、9多个版本受到影响。攻击者可以利用这个问题，绕过某些安全限制来执行未经授权的操作。

CVE-2018-1305漏洞概要

CVE ID：CVE-2018-1305

漏洞影响版本

• Apache Tomcat 9.0.0.M1 to 9.0.4
  
• Apache Tomcat 8.5.0 to 8.5.27
  
• Apache Tomcat 8.0.0.RC1 to 8.0.49
  
• Apache Tomcat 7.0.0 to 7.0.84
  

漏洞涉及厂商

Apache Software Foundation

漏洞涉及产品

Apache Tomcat

安全版本

• Apache Tomcat 8.5.28
  
• Apache Tomcat 8.0.50
  
• Apache Tomcat 7.0.85
  

CVE-2018-1305漏洞评价

CVE评价：

在Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 中，Apache Tomcat servlet 注释定义的安全约束，只在servlet加载后才应用一次。由于以这种方式定义的安全约束，应用于URL模式及该点下任何URL，很可能取决于servlet加载的次序，对于某些不应用的安全约束。这可能会将资源暴露给未经授权访问它们的用户。

SecurityFocus评价：

Apache Tomcat容易出现安全绕过漏洞。攻击者可以利用这个问题，绕过某些安全限制来执行未经授权的操作。这可能有助于进一步攻击。

来源： 安胜ANSCEN

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！