کشف آسیبپذیری در Apache Tomcat
کشف آسیبپذیری در Apache Tomcat
کشف آسیبپذیری در Apache Tomcat |
یک آسیبپذیری با شناسه CVE-2023-46589 و شدت بالا در Apache Tomcatشناسایی شده است که بهدلیل اعتبارسنجی نامناسب در ورودی، امکان Request Smuggling (قاچاق درخواست) در reverse proxy را برای مهاجم فراهم میآورد. این آسیبپذیری به این دلیل رخ میدهد که Tomcat، HTTP trailer headers را به درستی تجزیه و تحلیل نمیکند. یک trailer header ویژه که از اندازه header فراتر میرود، میتواند منجر به در نظر گرفتن یک درخواست بهعنوان درخواستهای متعدد توسط Tomcat شود که در نتیجه در reverse proxy، امکان Request Smuggling رخ خواهد داد. محصول به عنوان یک عامل HTTP واسطه (مانند یک پروکسی یا فایروال) در جریان داده بین دو بخش مانند یک کلاینت و سرور عمل میکند، اما درخواستها یا پاسخهای HTTP نادرست را به روشهایی که با نحوه پردازش پیامها توسط نهادهایی که در مقصد نهایی هستند، سازگار باشد، تفسیر نمیکند. در واقع درخواست در سمت کلاینت و سرور بصورت ناهمگان تفسیر میشود. • Apache Tomcat نسخه 11.0.0-M11یا جدیدتر |
منبع: سایت مرکز ماهر |
نظر دهید