检测

Apache Tomcat 11.0.0-M1 < 11.0.0 多个漏洞

critical Web App Scanning 插件 ID 114509

语言:

简介

Apache Tomcat 11.0.0-M1 < 11.0.0 多个漏洞

描述

远程主机上安装的 Apache Tomcat 版本为 9.0.0-M1 至 9.0.95、10.1.0-M1 至 10.1.30 或 11.0.0-M1 至 11.0.0-M26。因此,该服务器受到多个漏洞的影响:

 - 如果 Tomcat 配置为使用自定义 Jakarta 身份验证(旧称 JASPIC)ServerAuthContext 组件,其可能会在未明确设置表示失败的 HTTP 状态的情况下于身份验证过程中返回异常,导致身份验证可能不会失败,从而允许用户绕过身份验证过程。(CVE-2024-52316)

 - HTTP/2 请求所使用的请求和响应不正确回收,可能导致用户之间混淆请求和/或响应。(CVE-2024-52317)

请注意,扫描程序并未试图利用这些问题,而只依赖于应用程序自我报告的版本号。

解决方案

升级到 Apache Tomcat 11.0.0 版本或更高版本。

另见

https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0

插件详情

严重性: Critical

ID: 114509

类型: remote

发布时间: 2024/11/20

最近更新时间: 2024/11/20

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-52316

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 分数来源: CVE-2024-52316

漏洞信息

CPE: cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*

易利用性: No known exploits are available

补丁发布日期: 2024/10/9

漏洞发布日期: 2024/10/8

参考资料信息

CVE: CVE-2024-52316, CVE-2024-52317