漏洞描述

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。
攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件：

• 攻击者能够控制服务器上文件的内容和名称
• 服务器PersistenceManager配置中使用了FileStore
• 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL，或者使用了其他较为宽松的过滤器，允许攻击者提供反序列化数据对象
• 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径

利用复杂度

苛刻,java安全网(https://www.javasec.cn)建议在业务不繁忙时修复

影响版本

Apache Tomcat 10.x < 10.0.0-M5
Apache Tomcat 9.x < 9.0.35
Apache Tomcat 8.x < 8.5.55
Apache Tomcat 7.x < 7.0.104

修复版本

Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104

修复建议

• 临时修复建议:禁止使用Session持久化功能FileStore
• 升级Apache Tomcat至安全版本

参考链接

https://tomcat.apache.org/security.html