Ejecución remota de código en Apache Tomcat
Fecha de publicación:
03/10/2017
Importancia:
4 -
Alta
Recursos afectados:
- Apache Tomcat versión 9.0.0.m1 a versión 9.0.0
- Apache Tomcat versión 8.5.0 a versión 8.5.22
- Apache Tomcat versión 8.0.0.RC1 a versión 8.0.46
Descripción:
Se ha conocido una vulnerabilidad de ejecución remota de código a través de peticiones HTTP tipo PUT, siendo posible por un atacante cargar un archivo JSP en el servidor y realizar la ejecución de código en el servidor.
Solución:
Se recomienda actualizar a las últimas versiones disponibles 9.0.1, 8.5.23 y 8.0.47
Detalle:
La vulnerabilidad descubierta permitiría cuando está habilitado el método HTTP tipo PUT cargar un archivo JSP en el servidor a través de una petición especialmente diseñada, pudiendo a través de este JSP ejecutar código en el servidor. Se ha reservado el identificador CVE-2017-12617 para esta vulnerabilidad.
Referencias:
Etiquetas: