漏洞說明# Apache與Tomcat都是Apache開源組織開發的用於處理HTTP服務的項目，兩者都是免費的，都可以做為獨立的Web服務器運行。 Apache Tomcat服務器存在文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp ...

影響版本 Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31 復現 環境准備 選取一個版本受影響的Tomcat ...

協議進行交互 此漏洞為文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp ...

Apache Tomcat 文件包含漏洞（CVE-2020-1938） 一. 漏洞概述 2月20日，國家信息安全漏洞共享平台（CNVD）發布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。該漏洞是由於Tomcat AJP協議 ...

2月20日，國家信息安全漏洞共享平台（CNVD）發布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。該漏洞是由於Tomcat AJP協議存在缺陷而導致，攻擊者利用該漏洞可通過構造特定參數，讀取服務器webapp目錄下的任意文件 ...

背景 2020年1月6日，國家信息安全漏洞共享平台（CNVD）收錄了由北京長亭科技有限公司發現並報送的Apache Tomcat文件包含漏洞（CNVD-2020-10487，對應CVE-2020-1938）。攻擊者利用該漏洞，可在未授權的情況下遠程讀取特定目錄下的任意文件。目前，漏洞細節尚未 ...

漏洞原理 Tomcat配置了兩個Connecto，它們分別是HTTP和AJP。 HTTP默認端口為8080，處理http請求；AJP默認端口8009，用於處理 AJP 協議的請求。 AJP比http更加優化，多用於反向、集群等，漏洞由於Tomcat AJP協議存在缺陷而導致，攻擊者利用該漏洞 ...

漏洞簡介 cve-2020-1938是一個出現在Apache-Tomcat-Ajp的文件包含漏洞，攻擊者可以利用該漏洞讀取包含Tomcat上所有的webapp目錄下的任意文件，入：webapp配置文件或源代碼。 　　由於Tomcat默認開啟的AJP服務（8009端口）存在一處文件包含缺陷 ...