CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/02/2011

Cross Site Scripting en Apache Tomcat

Han sido identificadas dos vulnerabilidades en Apache Tomcat, que podrían ser explotadas para eludir las restricciones o conocimiento de información sensible.

Riesgo: Medio

La primera se debe a un error de validación de entrada en la interfaz de administrador HTML, al mostrar los datos de aplicaciones web. Esto podría permitir ataques de cross site scripting.

La segunda vulnerabilidad está causada dado que la configuración de "sólo lectura" no se aplica cuando se ejecutan aplicaciones web bajo un SecurityManager. Esto podría permitir a una aplicación web maliciosa, obtener acceso no autorizado de lectura y escritura en un sistema vulnerable.

Sistemas Afectados:

Apache Tomcat 7.x
Apache Tomcat 6.x
Apache Tomcat 5.x

Referencias:

CVE-2010-3718, CVE-2011-0013

Solución:

Actualizar a Apache Tomcat 7.0.6 or posterior, 6.0.30 o posterior, or 5.5.32 :
http://archive.apache.org/dist/tomcat

Notas:

http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html
http://www.vupen.com/english/advisories/2011/0292

Fuente: VUPEN

CSIRT-CV