BUGTRAQ ID: 25314
CVE(CAN) ID: CVE-2007-3386
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat实现上存在输入验证漏洞,远程攻击者可能利用引漏洞导致跨站脚本执行。
Apache Tomcat的Host Manager Servlet没有正确地过滤用户输入,如果用户向服务器提交了恶意请求的话就可以执行跨站脚本攻击,导致注入并执行任意HTML和Web脚本。
Apache Group Tomcat 6.0.0 - 6.0.13
Apache Group Tomcat 5.5.0 - 5.5.24
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://apache.mirror.rafal.ca/tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz” target=“_blank”>http://apache.mirror.rafal.ca/tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz</a>
<form action="http://localhost:8080/host-manager/html/add" method="get">
<input type="hidden" NAME='name' VALUE="aaa">
<input type="hidden"&n