【漏洞通告】Apache Tomcat 竞争条件远程代码执行漏洞（CVE-2024-50379）

文章预览

一、漏洞 概述 漏洞名称 Apache Tomcat 竞争条件远程代码执行漏洞 CVE   ID CVE-2024-50379 漏洞类型 TOCTOU竞争条件 发现时间 2024-12-18 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。 2024年12月18日，启明星辰集团VSRC监测到Apache Tomcat中修复了一个TOCTOU竞争条件远程代码执行漏洞（CVE-2024-50379），该漏洞的CVSS评分为9.8。 Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞，当Apache Tomcat的默认servlet被配置为允许写入（即readonly初始化参数被设置为非默认值false），在不区分大小写的文件系统上，当对同一文件进行并发读取和上传时，可能绕过Tomcat的大小写敏感性检查，导致上传的文件被错误地当作JSP文件处理，从而导致远程 ………………………………