Alerta de Vulnerabilidades - Apache Tomcat
A Apache Software Foundation lançou uma atualização de segurança para resolver uma vulnerabilidade que afeta várias versões, onde ao ser utilizado através de uma rede que utilize o sistema de ficheiros NTFS é possível contornar as restrições de segurança e/ou ver o código fonte de páginas JSP em algumas configurações. O problema em alguns casos está associado ao comportamento inconsistente do Windows API (FindFirstFileW) causado pelo comportamento inesperado da API JRE File.getCanonicalPath().[1]
Quando esta vulnerabilidade é explorada com sucesso, o atacante pode ter acesso a informação sensível.
Os utilizadores das versões afetadas devem atualizá-las para a sua versão mais recente:[2]
- Apache Tomcat 10.0.0-M10 ou mais recente;
- Apache Tomcat 9.0.40 ou mais recente;
- Apache Tomcat 8.5.60 ou mais recente;
- Apache Tomcat 7.0.107 ou mais recente.
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-24122
[2] http://tomcat.apache.org