CVE ID: CVE-2013-2067
Apache Tomcat是一款开放源码的JSP应用服务器程序
Apache Tomcat表单验证功能中的java/org/apache/catalina/authenticator/FormAuthenticator.java不正确处理验证需求和会话之前的关系,允许远程攻击者ilyong漏洞在完成登录表单过程中对已验证资源发送请求,可把请求注入到会话中,使用目标验证凭据执行该请求。此漏洞是会话固定攻击的一个变种
0
Apache Tomcat 6.0.21 - 6.0.36
Apache Tomcat 7.x
厂商解决方案
Apache Tomcat 7.0.33已经修复此漏洞,建议用户下载更新:
http://tomcat.apache.org/