发布日期：2020-05-20
更新日期：2020-05-25

受影响系统：

Apache Group Tomcat 9.0.0.M1 － 9.0.34
Apache Group Tomcat 8.5.0 － 8.5.54
Apache Group Tomcat 7.0.0 － 7.0.103
Apache Group Tomcat 10.0.0-M1 － 10.0.0-M4

描述：

---

CVE(CAN) ID: CVE-2020-9484

Tomcat是目前较为流行的Web应用服务器。

Apache Tomcat 10.x < 10.0.0-M5、9.x < 9.0.35、8.x < 8.5.55、7.x < 7.0.104版本，在实现上存在反序列化远程代码执行漏洞。如果攻击者可以控制服务器上的文件名以及文件内容，服务器对FileStore配置为使用PersistenceManager，PersistenceManager配置了sessionAttributeValueClassNameFilter值为“NULL”或者其他宽松的过滤器，使得攻击者可以提供反序列化对象，攻击者了解FileStore使用的存储位置到可控文件的相对路径，则通过构造的请求，攻击者可利用此漏洞触发反序列化远程代码执行。

<*来源：jarvis threedr3am
  
  链接：http://tomcat.apache.org/security-10.html
*>

建议：

---

厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（CVE-2020-9484）以及相应补丁:
CVE-2020-9484：High: Remote Code Execution via session persistence
链接：http://tomcat.apache.org/security-10.html

参考：

[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html
[4] http://tomcat.apache.org/security-7.html

浏览次数：1625
严重程度：0（网友投票）