Tomcat Manager 是 Tomcat 提供的一个 Web 应用工具,提供HTTP接口方式用来管理Tomcat进程以及相应的Web应用的工具。
该工具刚刚爆出一个跨站点脚本攻击漏洞,该漏洞级别为严重,影响的 Tomcat 版本包括:7.0.0 – 7.0.4, 6.0.12 – 6.0.29 以及 5.5 的所有版本。
漏洞的示例请看如下URL
GET /manager/html/sessions?path=/&sort="><script>alert(‘xss’)</script>order=ASC&action=injectSessions&refresh=Refresh+Sessions+list
默认安装的 Tomcat 不存在此问题,因为 Manager 应用是需要额外安装的。而安装并在使用 Manager 的用户,建议 6.0 版本的用户升级到 6.0.30 ,其他版本暂时关闭该应用,因为目前 Tomcat 尚未发布该漏洞的修复版本。