【漏洞通告】Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379）

文章预览

通告编号:NS-2024-0037 2024-12-18 TA G： Tomcat、条件竞争、代码执行、CVE-2024-50379 漏洞危害： 攻击者利用该漏洞，可实现远程代码执行 版本： 1.0 1 漏洞概述 近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379）。由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致，当启用了默认servlet的写入功能（设置readonly=false且允许PUT方法），未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制，通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行，从而实现远程代码执行。CVSS评分9.8，目前已有PoC公开，请相关用户尽快采取措施进行防护。 Apache Tomcat是一个开源的Java应用服务器，由 Apache 软件基金会开发和维护，广泛用于各种Web应用开发与部署场景中。 参考链接： https:// ………………………………