发布日期：2020-02-11
更新日期：2020-02-21

受影响系统：

Apache Group Tomcat 9 < 9.0.31
Apache Group Tomcat 8 < 8.5.51
Apache Group Tomcat 7 < 7.0.100
Apache Group Tomcat 6

不受影响系统：

Apache Group Tomcat 9.0.31
Apache Group Tomcat 8.5.51
Apache Group Tomcat 7.0.100

描述：

---

CVE(CAN) ID: CVE-2020-1938

Tomcat是Apache软件基金会中的一个重要项目，性能稳定且免费，是目前较为流行的Web应用服务器。

Apache Tomcat由于Tomcat AJP协议存在缺陷，在实现上存在文件包含漏洞。攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。

<*来源：anonymous
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：

版本号    下载地址
Apache Tomcat 7.0.100    http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.5.51    http://tomcat.apache.org/download-80.cgi
Apache Tomcat 9.0.31    http://tomcat.apache.org/download-90.cgi

浏览次数：2743
严重程度：0（网友投票）