Tomcat Manager 爆 XSS 漏洞

红薯
 红薯
发布于 2010年11月23日
收藏 1

Tomcat Manager 是 Tomcat 提供的一个 Web 应用工具,提供HTTP接口方式用来管理Tomcat进程以及相应的Web应用的工具。

该工具刚刚爆出一个跨站点脚本攻击漏洞,该漏洞级别为严重,影响的 Tomcat 版本包括:7.0.0 - 7.0.4, 6.0.12 - 6.0.29 以及 5.5 的所有版本。

漏洞的示例请看如下URL
GET /manager/html/sessions?path=/&sort="><script>alert('xss')</script>order=ASC&action=injectSessions&refresh=Refresh+Sessions+list

默认安装的 Tomcat 不存在此问题,因为 Manager 应用是需要额外安装的。而安装并在使用 Manager 的用户,建议 6.0 版本的用户升级到 6.0.30 ,其他版本暂时关闭该应用,因为目前 Tomcat 尚未发布该漏洞的修复版本。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Tomcat Manager 爆 XSS 漏洞
加载中

最新评论(2

ddatsh
ddatsh
呵呵,TOMCAT 主页还是6.0.29的
没见着30
返回顶部
顶部