漏洞描述
【漏洞对象】Apache tomcat 【涉及版本】Apache Tomcat 9.0.0.M1-9.0.0;Apache Tomcat8.5.0-8.5.22;Apache Tomcat 8.0.0.RC1-8.0.46;Apache Tomcat 7.0.0-7.0.81【漏洞描述】Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照SunMicrosystems提供的技术规范,实现了对Servlet和JavaServerPage(JSP)的支持,并提供了作为Web服务器的一些特有功能。该漏洞是由于参数readonly设置为false或者使用参数readonly设置启用WebDAVservlet false。此配置将允许任何未经身份验证的用户上传文件,一旦允许上传jsp文件,就可以在服务器上执行任意命令。