Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/02/2020
Un atacant podria explotar la vulnerabilitat per a llegir arxius arbitraris del servidor webapp, enviant peticions específiques modificades. A més, si el servidor té l'opció de pujar arxius, l'atacant podria aprofitar-se i executar codi de manera remota.
Recordeu que la versió 6 de Tomcat està fora de suport (https://tomcat.apache.org/security.html)
Sistemes Afectats:Apache Tomcat 6 (totes)
Apache Tomcat 7 inferiors a 7.0.100
Apache Tomcat 8 inferiors a 8.5.51
Apache Tomcat 9 inferiors a 9.0.31
CVE-2020-1938
Solució:Apatxe ha publicat les versions següents, e corregeixen la vulnerabilitat:
Apache Tomcat 7.0.100
Apache Tomcat 8.5.51
Apache Tomcat 9.0.31
Accions específiques:
En cas d'utilitzar el protocol AJP
En cas de no poder actualitzar o tindre alguna versió més antiga es recomana realitzar les següents accions:
Más información:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi