Apache Tomcat sérülékenység
Angol cím: 
Apache Tomcat CORS Filter Security Features Vulnerability
CERT-Hungary ID: 
CH-14458
Felfedezés dátuma: 
2018-06-29
Összefoglaló: 

Az Apache Tomcat olyan kritikus besorolású sérülékenységét jelentették, amit kihasználva a nem hitelesített támadók megkerülhetik a biztonsági előírásokat.

Leírás: 

A sérülékenységet az okozza, hogy a CORS filter beállítás nem biztonságos, és a "supportsCredentials" funkció engedélyezve van minden "origin" részére. Ezt kihasználva egy támadó meg tudja kerülni a CORS filter funkciót a megtámadott rendszeren, amelynek következtében korlátozottan elérhető erőforrásokhoz férhet hozzá, vagy akár tetszőleges kódot futtathat.

Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Apache Tomcat 7.0.89 előtti verziók