Tomcat Manager 爆 XSS 漏洞

释放双眼,带上耳机,听听看~!

文章转载开源中国

Tomcat Manager 是 Tomcat 提供的一个 Web 应用工具,提供HTTP接口方式用来管理Tomcat进程以及相应的Web应用的工具。

该工具刚刚爆出一个跨站点脚本攻击漏洞,该漏洞级别为严重,影响的 Tomcat 版本包括:7.0.0 – 7.0.4, 6.0.12 – 6.0.29 以及 5.5 的所有版本。

漏洞的示例请看如下URL
GET /manager/html/sessions?path=/&sort="><script>alert(‘xss’)</script>order=ASC&action=injectSessions&refresh=Refresh+Sessions+list

默认安装的 Tomcat 不存在此问题,因为 Manager 应用是需要额外安装的。而安装并在使用 Manager 的用户,建议 6.0 版本的用户升级到 6.0.30 ,其他版本暂时关闭该应用,因为目前 Tomcat 尚未发布该漏洞的修复版本。

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

OpenSSL 更新以修复远程执行漏洞

2010-11-17 11:12:22

安全漏洞

Tomcat 发布 Manager 的 XSS 漏洞补丁

2010-11-24 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索