Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/02/2011
La primera se debe a un error de validación de entrada en la interfaz de administrador HTML, al mostrar los datos de aplicaciones web. Esto podría permitir ataques de cross site scripting.
La segunda vulnerabilidad está causada dado que la configuración de "sólo lectura" no se aplica cuando se ejecutan aplicaciones web bajo un SecurityManager. Esto podría permitir a una aplicación web maliciosa, obtener acceso no autorizado de lectura y escritura en un sistema vulnerable.
Apache Tomcat 7.x
Apache Tomcat 6.x
Apache Tomcat 5.x
CVE-2010-3718, CVE-2011-0013
Solución:Actualizar a Apache Tomcat 7.0.6 or posterior, 6.0.30 o posterior, or 5.5.32 :
http://archive.apache.org/dist/tomcat
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html
http://www.vupen.com/english/advisories/2011/0292