Сервлет «org.apache.catalina.servlets.DefaultServlet» включен в Apache Tomcat по умолчанию. Удаленный атакующий может использовать этот сервлет для просмотра содержания произвольных файлов в пределах WWWROOT, в т.ч. и .jsp файлов, которые могут содержать чувствительные данные, типа имен пользователей базы данных и паролей. Пример: 

http://target/admin/servlet/ org.apache.catalina.servlets.DefaultServlet/target.jsp 

Уязвимость обнаружена в Apache Software Foundation Tomcat 3.0-4.1.10.



Оставить мнение